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In addition, control systems will reach the market which already have internally 
redundant structures and thus, in interplay with said safe bus systems, allow fault detection; see, 
for example, the bus systems from Siemens, particularly the equipment series S 7 400 F, or the 
PSS 3000 series by Pilz. 

However, the methods implemented there can only be used with completely new 
installation of the necessary components and protect only inadequately against systematic faults. 

Instead, the invention has the object of detecting faults in a process which is only built up 
with standard units. 

In addition, it should preferably be not only any faults occurring in the transport of data 
via a bus system used, but also disturbances or programming errors in the control device which 
are detected and eliminated. 

The circuit arrangement thus represents an implementation of a method which has already 
been filed under the post-published patent no. 198 57 683.8, the full extent of the content of 
which is also made the subject matter of the present patent application by reference. 

The method is particularly suitable for all ring-shaped bus systems, the technology 
described being optimally adapted for the interims standard. In this case, a requirement profile 
was already worked out at the beginning of 1999 and then published, IEE journal, April 1999, 
Karsten Meyer-Grafe: "Interbus goes Safety". 

In the text which follows, the invention is described in more detail, referring to preferred 
embodiments and the attached drawings, in which: 
Fig. 1 shows the configuration for a first embodiment of a 

system for protected data transmission, 
Fig. 2 shows the internal configuration of the peripheral 
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English Translation 



Circuit arrangement for protected data transmission, particularly in ring-shaped bus systems 



The invention relates to a circuit arrangement for protected data transmission, particularly 
in ring-shaped bus systems. 

In machine and plant construction today, movements and processes are not infrequently 



personnel, in the case of a fault or if they fail. Apart from these dangers, however, valuable 
machine parts must also be protected which can suffer great financial damage in the case of 



Any faults which may occur must, therefore, be recognized by the process or the existing 
control facilities and the machine should always be driven in a state which can be considered 
safe. As a rule, redundant structures are necessary for this which monitor the safety functions 
independently of the actual control. In machine or plant construction, detection of a single error 
is frequently sufficient for fault detection. After this fault has been detected, the control process 
can then be interrupted and stay in a safe state. This prevents any damage by faulty continuation 
of the process. 

The methods for fault detection and the measures necessary for these are stated in 
international standards DIN V VDE 0801 and DIN ISO 61508. By means of the principles given 
in these standards, the manufacturers of automation equipment have developed in recent years 
different strategies which allow safe transmissions on bus systems, see, for example, the 
"profibus with F-Profil, PNO and safety-bus P by Pilz and Sick. 
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Description 



controlled which represent a danger to the life and health of persons, particularly the operating 



possible malfunctions. 



safety-related unit of the system for protected data transmission. 

In the text which follows, the invention will be described in greater detail, initially by 
referring to Fig. 1. Fig. 1 shows a suitable configuration for such a system. 

The control unit (1) handles all control functions in the process as is known, for example, 
from the conventional interbus system. The control unit (1) also detects possible faults and can 
interrupt processes or bring them to a safe state. 

In the case of its own failure or in the case of faulty data transport, however, the control 
unit (1) is conventionally not able to produce the desired safe state. This failure also occurs, for 
example, if there is extensive separation between process control and safety control in the control 
system. Since there is conventionally no redundancy here, either, an undetected fault may have 
grave consequences. 

According to the invention, other components are added which detect and eliminate a 
possible fault. These units are: a peripheral monitoring unit (4) and one or more peripheral 
safety-related units (9) in the process, which are only necessary where safety-related data are 
received or transmitted. 

The control unit (1) contains a data map register (2) which sends all output data and other 
checking signals via the data line (13) to the peripheral units (7, 8, 12, peripheral safety-related 
unit 9 and peripheral monitoring unit 4). 

Since the bus transport works in a similar way to a shift register, all peripheral units send 
their input data to the control unit in the same bus cycle via the return line (14) and these data are 
available in the data map register (3). In a subsequent SPC (stored-program control) cycle, the 
SPC then processes the data from its two map registers (2, 3) and thus generates the necessary 
state for the process. 
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Without the peripheral monitoring unit (4) and the peripheral safety-related unit (9), 
however, the SPC is not capable of controlling a programming error, a state due to disturbance or 
failure or a data error due to the wrong bus transport. The peripheral monitoring unit (4), 
therefore, contains its own microprocessor which monitors the transmitted data of the SPC and 
5 only examines the safety-related quantities for appropriateness, particularly their correctness. 

Thus, the peripheral monitoring unit (4) with the transfer unit (5) is capable of monitoring 
the SPC. However, the peripheral monitoring unit (4) can also additionally read the data of the 
inputs of the peripheral units via the transfer unit (6) installed in the return path. Since the 
peripheral safety-related unit (9) also forwards its output information (D3) directly to the input 
1 0 section of the bus unit (23), it is possible to check directly whether the bus transfer has worked 
correctly. 

Furthermore, the peripheral monitoring unit (4) with its transfer unit (5) is also capable of 
manipulating the data for the peripheral safety-related unit (9). In particular, the peripheral 
monitoring unit (4) can overwrite data of the SPC and thus prevent agreement with the data 
15 output from the peripheral safety-related unit (9). The peripheral safety-related unit (9) becomes 
active only if it has received an agreement for the data of the output unit (10) via the checking 
unit (11). 

The timing with the data transport is shown in the following table: 
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The timing diagram shows the state after each shift information in the ring by means of a 
preferred example, the Interbus system by Phoenix Contact GmbH and Co. KG. 

The information AC3 can be manipulated by the peripheral monitoring unit (4) with the 
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transfer unit (5) and can be overwritten. The peripheral safety-related unit (9) thus receives in its 
checking logic (1 1) an additional information item which prevents a faulty output. 

As can also be seen from the timing diagram, the peripheral monitoring unit (4) can also 
read the data of the output from the peripheral safety-related unit (9) (EC3). These data represent 
the direct output information of the peripheral safety-related unit (9) so that a bus error is reliably 
detected. 

The internal configuration of the peripheral safety-related unit (9) is shown in figure 2. 

The peripheral safety-related unit (9) consists of two 
bus units (22, 23) so that input information can be fetched redundantly (24, 25). In addition, the 
output information Dn from a bus unit (22) is mapped via the input section of the other bus unit 
(23). A possible error in the internal storage or during the bus transport is thus detected in the 
subsequent cycle of the bus transport. The output information Dn is written into the buffer (7) by 
the control unit (SPC). 

However, the checking logic (11) additionally decides whether the information of the 
buffer (7) appears at the peripheral unit via the output logic (28). This checking logic (11) can 
either release the stored information via the line (30) or delete the state via the line (31) so that 
the output (29) brings the control process into a safe state. 

In principle, however, the circuit arrangement operates in many areas just like a normal 
decentralized SPC system. The components merely additionally allow inputs to be redundantly 
monitored and stored output information to be examined for appropriateness, particularly 
freedom from faults before it is output. Furthermore, the monitoring unit can also detect faults, 
which have not only been produced by failure or disturbance but were caused by an error in 
programming or parameterizing. 
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The present circuit arrangement thus allows data which are necessary for configuring 
fault-tolerant structures to be transmitted on standard ring-shaped bus systems. 

To implement the invention, a monitoring unit and peripheral input and output units 
transmitting or receiving data for control purposes are used. 

The circuit arrangement handles the task of detecting any faults which can become a 
danger for the control process, particularly for the transmission of control, sensor or actuator 
data, within a machine or plant. Due to its internal configuration, the circuit arrangement 
identifies a possible error even before the error is transmitted to the control process and initiates a 
protected switch-off. In this arrangement, it is of no importance whether it is the external control 
unit or the bus system used which is responsible for the error. 
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Claims 



1 . A system for protected data transmission in 
ring-shaped bus systems, comprising 

- a control unit ( 1 ) which sends output data and 

checking signals for a control process to peripheral units (4, 7, 8, 9, 12), 

- a peripheral monitoring unit (4) which has 

a first transfer unit (5) for monitoring the transmitted data and a second transfer unit (6) 
for monitoring data to be read back into the control unit (1), and 

- at least one peripheral safety-related unit (9) 

for receiving or transmitting safety-related data, in which data are temporarily stored for 
output, which has a checking logic (1 1) for monitoring the temporarily stored data and an 
output unit (10) for outputting the temporarily stored data, 

the temporarily stored data being monitored by the 
checking logic (1 1) in such a manner that, in the case of a fault, a safe state of the output 
unit (10) for the control process is initiated, 

the first transfer unit (5) monitoring the data 
sent out by the control unit (1), in such a manner that, in the case of a fault, release data 
for the peripheral safety-related unit (9) are suppressed or deleted so that the faulty data 
do not reach the control process, particularly data transmission sequences, wherein the 
input data of the peripheral safety-related unit (9) and its temporarily stored data are read 
back via the second transfer unit (6). 
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2. The system as claimed in claim 1 , 
characterized in that 

the temporarily stored data and the input data of 
the peripheral safety-related unit (9) are provided to the peripheral monitoring unit (4). 

3. The system as claimed in claim 1 or 2, 
characterized in that 

the peripheral safety-related unit (9) reads back 
the temporarily stored data via a bus unit (23). 

4. The system as claimed in claims 1 to 3, 
characterized in that 

the peripheral safety-related unit (9) has a buffer 
(27) which is read back by a bus unit (23) and is thus checked by the peripheral 
monitoring unit (4) even before release to the control process, particularly of data 
transmitted via the bus, via the output logic (28) with the output signal (29). 

5. The system as claimed in claims 3 or 4, 
characterized in that 

the peripheral safety-related unit (9) comprises a 
further bus unit (22) so that the peripheral safety-related unit (9) has redundant input 
channels (24, 25) and thus redundantly monitors the connected control process and can 

detect a fault. 
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6. The system as claimed in claims 1 to 5, 
characterized in that 

the checking logic (11) decides whether the data 
stored in the buffer (27) are output via the output logic (28). 



7. The system as claimed in claims 1 to 6, 
characterized in that 

the checking logic (11) releases or deletes the 
temporarily stored data. 

8. The system as claimed in claims 1 to 7, 
characterized in that 

the peripheral monitoring unit (4) with the first 
transfer unit (5) is capable of manipulating the data for the peripheral safety-related unit 
(9). 



9. The system as claimed in claims 1 to 8, 
characterized in that 

the peripheral monitoring unit (4) overwrites data 
of the SPC. 

10. The system as claimed in claim 1 to 9, 
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characterized in that 

the agreement to a data output from the peripheral 
safety-related unit (9) is prevented by the overwriting of the data. 

11. The system as claimed in claim 1 to 10, 
characterized in that 

the checking logic (11) receives from the 
peripheral monitoring unit (4) an information item which prevents a faulty output. 

12. The system as claimed in claims 1 to 11, 
characterized in that 

the peripheral safety-related unit (9) only becomes 
active if it has received an agreement for the data of the output unit (10) via the checking 
unit (11). 

13. The system as claimed in claims 1 to 12, 
characterized in that 

the peripheral units (4, 7, 8, 9, 12) themselves 
can perform logic operations and thus a higher process speed is achieved in the overall 
combined operation. 



14. The system as claimed in claims 1 to 13, 
characterized in that 
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the peripheral monitoring unit (4) itself handles 
control functions and thus a combined operation with a safety control unit is produced. 



15. The system as claimed in claims 1 to 14, 
5 characterized in that 

the peripheral safety-related unit (9) manages with 
standard non-safety-related modules for the bus traffic and does not need any special 
safety.-related modules. 

10 16. The system as claimed in claims 1 to 1 5, 

characterized in that 

the function is operable in standard bus systems 
and is capable of operating without additional installation of further bus systems or 
special components. 

15 

17. The system as claimed in claims 1 to 16, 
characterized in that 

the function can be installed subsequently by 
adding the peripheral monitoring unit (4) and exchanging normal peripheral units for 
2 0 peripheral safety-related units (9). 

1 8. The system as claimed in claims 1 to 17, 
characterized in that 
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the safety function of the system can also be 
subsequently expanded by adding hardware elements or software modules. 

1 9. The system for protected data transmission, 
particularly in ring-shaped bus systems, 

in which a peripheral monitoring unit (4) checks 
the data sent out by a control unit (1) and examines them for faults and in the case of a 
fault suppresses or deletes release data for a peripheral safety-related unit (9) so that a 
fault cannot reach the control process, particularly not data transmission sequences. 

20. The system as claimed in claim 19, 

in which temporarily stored data of the peripheral 
safety-related unit (9) are read via a bus unit (23) and are monitored and detected by a 
checking logic (11). 

21. The system as claimed in claim 1 9 or 20, 
in which a safe state of data transmission, 

particularly of the output unit (10), is initiated by the checking logic (11). 

22. A peripheral safety-related unit in a system for 
protected data transmission in ring-shaped bus systems, 

comprising 

- two bus units (22, 23), to forward the output /" 
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data of a bus unit (22) also to the input section of the other bus unit (23) in order to be 
able to fetch information from the control process via redundant input channels (24, 25) 
and in order to provide the output data of a peripheral monitoring unit (4) for read-back, 

- a buffer (27) in which the output data are stored 
before their release, 

- an output logic (28) via which the temporarily 
stored data are output, and 

- a checking logic (11) which decides whether the 

data stored in the buffer (27) are output via the output logic (28). 

23. The peripheral safety-related unit as claimed in 
claim 20, 

characterized in that 

the checking logic (1 1) releases or deletes the 
temporarily stored data. 

24. The peripheral safety-related unit as claimed in 
claims 22 or 23, 

characterized in that 

the checking logic (11) receives information from 
the peripheral monitoring unit (4) in order to be able to prevent a faulty output by this 
means. 
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Abstract 

The present circuit arrangement allows data, which are necessary for building up fault- 
tolerant structures, to be transmitted on standard ring-shaped bus systems. Its implementation 
requires a monitoring unit and input and output units which transmit or receive data for control. 

The circuit arrangement handles the task of detecting any faults which can become a 
danger for the process within a machine or plant. Due to its internal configuration, the circuit 
arrangement identifies any fault even before the detection of the fault and initiates a protected 
switch-off. In this arrangement, it is of no importance whether it is the external control unit or the 
bus system used which is responsible for the fault. 
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Die Bestandteile standen der Behorde in der Sprache: zur Verfugung bzw. wurden in dieser Sprache 
eingereicht; dabei handelt es sich urn apracne 

D 3SS!!1,J ' ° berSet2Un9 ' di6 fQr di6 Zw6Cke der international Recherche eingereicht worden ist (nach 

□ die Veroffentlichungssprache der intemationalen Anmeldung (nach Regel 48 3(b)) 

3. Hinsichtlich der in der intemationalen Anmeldung offenbarten Nucleotid- und/oder Aminosaureseauen* kt di* 
.nternat,onale vorlaufige PrOfung auf der Grundlage des Sequenzprotokolls ^e\ZZZn ^ 

□ in der intemationalen Anmeldung in schriftlicher Form enthalten ist. 

□ zusammen mit der intemationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 

□ bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 

□ bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

□ Die Erklarung, daB das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den 
Offenbarungsgehalt der intemationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

□ Die Erklarung, daB die in computerlesbarer Form erfassten Informationen dem schriftlichen 
Sequenzprotokoll entsprechen, wurde vorgelegt. 

4. Aufgrund der Anderungen sind folgende Unterlagen fortgefallen: 
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□ Beschreibung, Seiten: 

□ Anspruche, Nr.: 

□ Zeichnungen, Blatt: 

5 ' ° BerQ ° k A si chtigung (von einigen) der Anderungen ersteltt worden, da diese aus den 

F Grunden „ nach Auff h assun 9 der Beh6 *e uber den Offenbarungsgehalt in der ursprOngHch 
eingereichten Fassung hinausgehen (Regel 70.2(c)). 

ZuS)!^' dieSOlcheAndemn 9 enenthalten > istunterPunkt 1 hinzuweisen;si 8 sind diesem Bericht 

6. Etwaige zusatzliche Bemerkungen: 
II. Prioritat 

1 ' ° ^IVlf^nl °! W * Ber ^ ksichti 9 un 9 der beanspruchten Prioritat erstellt worden, da folgende 
angeforderte Unterlagen n.cht innerhalb der vorgeschriebenen Frist eingereicht wurden: 

□ Abschrift der friiheren Anmeldung, deren Prioritat beansprucht worden ist. 

□ Obersetzung der fruheren Anmeldung, deren Prioritat beansprucht worden ist. 

2. B Dieser Bericht ist ohne Berucksichtigung der beanspruchten Prioritat erstellt worden, da sich der 

Pnontatsanspruch als ungultig herausgestellt hat. 

ma^chT^um 68 BSriChtS 9i ' 1 ° bengenann,e international Anmeldedatum als das 

3. Etwaige zusatzliche Bemerkungen: 
siehe Beiblatt 

V. Begrundete Feststellung nach Artikel 35(2) hinsichtllch der Neuheit, der erflnderischen Tatiakeit und der 
gewerbhchen Anwendbarkeit; Unterlagen und Erklarungen zur Stiitzung dieser FesSellung 

1. Feststellung 

Neuheit ( N ) Ja: Anspruche 1-18,20-24 

Nein: Anspruche 19 

Erfinderische Tatigkeit (ET) j a: Anspruche 1-18,22-24 

Nein: Anspruche 19-21 

Gewerbliche Anwendbarkeit (GA) Ja: Anspruche 1-24 

Nein: Anspruche 

2. Unterlagen und Erklarungen 
siehe Beiblatt 
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VII. Bestimmte Mangel der internationalen Anmeldung 

s E rehe Ur Be e iSa t tt 9eS,ellt ' ^ * internati0nale Anmeldun 9 nacn *™ Oder Inhalt fo«gende Mangel aufweist: 

VIII. Bestimmte Bemerkungen zur internationalen Anmeldung 

fnHH^n ^ P ^ ten ^ ns P rQche . der Beschreibung und der Zeichnungen Oder zu der Frage ob die Ansoruche 
siehe Beiblatt" 9 B ^e\bung gestutzt werden, ist folgendes zu bemerken: P 
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Zu Sektion II- 

Die vorliegende Internationale Anmeldung PCT/DE00/01796 nimmt die Prioritat 
DE 199 25 693.4 vom 04.06.1999 in Anspruch. Dieses Dokument liegt dem Prufer 
vor, und es ist erkennbar, daB das weiter genannte Dokument DE-A1-198 57 683 
vom 14.12.1998 zymTejl die Prioritat der vorliegenden Anmeldung ungultig 
werden laBt. 

Grundsatzlich gilt: 

In der Regel muB als Prioritat der Anmeldetag der "ersten Anmeldung, d h 
der Anmeldung beansprucht werden, in der der Gegenstand der internationalen 
Anmeldung erstmals ganz Oder teilweise offenbart wurde. 
Stellt sich heraus, daB die Anmeldung, deren Prioritat beansprucht wird, nicht die 
erste Anmeldung im oben dargelegten Sinne ist, sondem daB der betreffende 
Gegenstand ganz oder teilweise in einer noch fruheren Anmeldung, die auf 
denselben Erfinder zumckgeht, offenbart ist, so ist der Prioritatsanspruch insoweit 
ungultjg, als der Gegenstand bereits in der noch fruheren Anmeldung offenbart 
wurde. 

Im vorliegenden Fall sind die DE-A1-198 57 683 und die vorliegende 
Internationale Anmeldung PCT/DE00/01796 vom gleichen Anmelder bzw. Erfinder 
(Dr. Peter Wratil). Grundlegende Teile der vorliegenden Anmeldung 
PCT/DE00/01796 sind bereits in der DE-A1-198 57 683 enthalten. Insofern kann 
die Prioritatsschrift DE 199 25 693,4. vom 04.06.1999-nMt a\s-erste Anmeldung 
gelten, und die Prioritat der Prioritatsschrift DE 199 25 693.4 vom 04.06 1999 ist 
nur insoweit fursolche Merkmale gultig, die noch nicht durch die DE-A1-198 57 
683 offenbart wurden. 

Die Grundlagen fur diese Aussage finden sich in Artikel 2 (xi) PCT, Artikel 8 PCT 
Regel 64. 1 (b) PCT und PCT-Richtlinien (V-1 .2 bis V-1 .4, V-2.2). 

Der Einwand bezuglich einer ungiiltigen Prioritat wird vor allem im Hinblick auf 
den vorliegenden unabhangigen Anspruch 19 erhoben. Der Gegenstand des 
Anspruchs 19 wird bereits durch die Schrift DE-A1-198 57 683 (vgl Spalte 2 Zeile 
9, bis Spalte 3, Zeile 1 3; Figur) offengelegt. Der Anspruch 1 9 kann daher nicht die 
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Prioritat der Prioritatsschrift DE 199 25 693.4 vom 04.06.1999 in Anspruch 
nehmen. 



Zu Sektion V: 

1 ) . Die internationale Anmeldung PCT/DE00/01 796 ist laut Titel auf eine 

Schaltungsanordnung zur gesicherten Datenubertragung in einem ringformigen 
Bussystem gerichtet. Der vorliegende Ansgmdil beansprucht ein System zur 
gesicherten Datenubertragung in ringformigen Bussystemen, der vorliegende 
unabhangige Anspruch 19 ein System zur gesicherten Datenubertragung, und der 
vorliegende unabhangige Anspruch 22 eine periphere sicherheitsrelevante Einheit 
in einem System zur gesicherten Datenubertragung in ringformigen Bussystemen. 

2) . Die folgenden im intemationalen Recherchenbericht zitierten Dokumente werden 

in diesem intemationalen vorlaufigen Prufungsbericht angegeben: 

D1 : US-A-5 1 1 5 1 77 (TANAKA KUNIO ET AL) 1 9. Mai 1 992 
D2: US-A-5 274 546 (KINOSHITA JIRO) 28. Dezember 1 993 

3) . Neben den Klarheitseinwanden in der Sektion VIII dieses intemationalen 

vorlaufigen Priifungsberichtes mangelt es dem Gegenstand des Anspruchs 19 an 
Neuheit gemaG Art. 33 (1 ) und (2) PCT. 

4) . Das Dokument D1 offenbart, in Ubereinstimmung mit alien Merkmalen des 

vorlieaenden unabhan gjgen Anspruchs 19 . 

ein System zur gesicherten Datenubertragung (siehe Figur 1; Spalte 2, Zeilen 18- 
27; Spalte 1 Zeilen 5-10 und 52-66), 
insbesondere in ringformigen Bussystemen, 

bei welcher eine periphere Oberwachungseinheit (Fig. 1/2 - programmable 
controller (PC)") die von einer Steuerung (Fig. 1 , "1 - numerical control system 
(CNC)") ausgesendeten Daten (Fig. 1, "Signals F"; Spalte 2, Zeilen 46-49) 
kontrolliert und auf Fehler untersucht (siehe Spalte 2, Zeilen 46-56) und 
im Fehlerfall (Spalte 2, Zeile 60 ff.) 

Freigabe-Daten (Fig. 1, "Signals Y") fur eine periphere sicherheitsrelevante 
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Einheit (Fig. 1 , « 3 - machine tool") unterdriickt Oder loscht (Soalte 2 7.ii 0 
60-68; Spalte 3, Zeilen 29-31 sowie Zeilen 39 und 40) 
so daB em Fehler nicht in den SteuerungsprozeB 
msbesondere nicht in Datentibertragungsablaufe, 
gelangen kann (Spalte 3, Zeilen 1-20). 

pIh! 96nSta , nd ^ AnSPrUChS 19 ' St S ° mit nicht neu «"* daher nicht die 
Erfordernisse der Artikel 33 (1) und (2) PCT. 

i). Selbst wenn die Anmelderin argumentieren wiirde der An™iH, ,„ 

w«raen (ArtiKel 33 (1) in Verbindung mit Artikel 33 (3) PCT). 

' SSST ^ 19 ^ fern6r niCht 6rfinderiSCh im Li ^e von 

D2 offenbart ein System zur gesicherten Datenubertragung (Fig 1) 
beiwelchereineUberwachunoseinhPit/Pir, i " 

(PMC^ 2<n hio w« ™ aC o nungse,nne,t ( p| 9- 1 • 'programmable machine controller 
PMC) 23 ) die von einer Steuerung (Fig. 1 , « C PU 1 1 bzw DIAGNOSTir r , 

, <Spa " e 2 ' ab Z * 531 Frei ^-Da.en fur sine periphere 
von m ! . 02 S ' ammen Wm Sleiche " A °™*' «! dia Offenbaruna 
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7) . Die zusatzlichen technischen Merkmale der abhangigen Anspruche 20 und 21 fii- 

gen den technischen Merkmale des unabhangigen Anspruchs 1 9 weder alleine 
noch in Kombination miteinander etwas Erfinderisches hinzu. 
Die Zusatzmerkmale der abhangigen Anspruche werden entweder durch die 
Dokumente D1 oder D2 offenbart, definieren einfache fachmannische 
MaBnahmen auf dem Gebiet der Datenubertragung, die innerhalb des normalen 
Tatigkeitsbereiches eines einschlagigen Fachmanns liegen bzw. stellen lediglich 
zweckmaBige bauliche MaBnahmen ohne erfinderischen Eigenwert dar. 

Die abhangigen Anspruche 20 und 21 geniigen somit wegen mangelnder 
erfinderischer Tatigkeit nicht den Erfordernissen des Artikels 33 (3) PCT. 

8) . Der Stand der Technik und dessen Nachteile werden von der Anmelderin in der 

Beschreibung (siehe insbesondere Seite 1, Zeile 12, bis Seite 2, Zeile 26) 
erlautert. 



9) . Die Aufgabe der Erf indung (vgl. Seite 2, Zeile 28, bis Seite 3, Zeile 2) ist es 

hauptsachlich, Fehler in einem (Steuerungs-) ProzeB zu erkennen, der lediglich 
mit Standardeinheiten aufgebaut ist. 

10) . Die Aufgabe der Erfindung wird durch das vorteilhafte Zusammenwirken der im 

vor|ieqenden Apspruch 1 genannten technischen Merkmalen gelost. Das System 
des Anspruchs 1 wird in der Figur 1 illustriert. 
Der Anspruch 1 lautet: 

System zur gesicherten Datenubertragung in ringformigen Bussystemen, 
umfassend 

eine Steuerung (1 ), 

die Ausgangsdaten und Kontrollsignale fur einen SteuerungsprozeG zu 
peripheren Einheiten (4, 7, 8, 9, 12) sendet, 

eine periphere Uberwachungseinheit (4), 

die eine erste Transfer-Einheit (5) zur Oberwachung der gesendeten 
Daten und 

eine zweite Transfer-Einheit (6) zur Oberwachung von in die Steuerung 



Formblatt PCT/8eiblatt/409 (Blatt 4) (EPA-Aprii 1997) 



\ 



^^^^S^T PCT/DE0<V0,796 



(1) zuruckzulesenden Daten aufweist, und 

mindestens eine periphere sicherheitsrelevante Einheit (9) 

zum Empfangen oder Senden von Daten mit Sicherheitsbezug, 
in der Daten zur Ausgabe zwischengespeichert werden, 

die 

eine Kontroll-Logik (11) zur Gberwachung der zwischengespeicherten Daten 
und 

eine Ausgangs-Einheit (10) zur Ausgabe der zwischengespeicherten Daten 
aufweist, 

wobei die zwischengespeicherten Daten durch die Kontroll-Logik (1 1) so 
uberwacht werden, daG im Fehlerfall ein sicherer Zustand der Ausgabe- 
Einheit (10) fur den SteuerungsprozeG eingeleitet wird, 

wobei die erste Transfer-Einheit (5), die von derSteuerung (1) ausgesendeten 
Daten derart uberwacht, daf3 im Fehlerfall Freigabe-Daten fur die periphere 
sicherheitsrelevante Einheit (9) unterdruckt odergeloscht werden, so da3 
fehlerhafte Daten nicht in den SteuerungsprozeG, 
insbesondere in Datenubertragungsablaufe, 
gelangen, 

wobei uber die zweite Transfer-Einheit (6), die Eingangsdaten der peripheren 
sicherheitsrelevanten Einheit (9), sowie deren zwischengespeicherten Daten 
zuruckgelesen werden. 

11). Die Aufgabe der Erfindung wird auch durch das vorteilhafte Zusammenwirken der 
im unabhanqigen Anspruch 22 genannten technischen Merkmalen gelost. Die 
periphere sicherheitsrelevante Einheit des Anspruchs 22 wird in der Figur 2 illu- 
striert. 

Der Anspruch 22 lautet: 

Periphere sicherheitsrelevante Einheit in einem System zur gesicherten 

Datenubertragung in ringfdrmigen Bussystemen, 

umfassend 

zwei Buseinheiten (22,23), 

urn die auszugebenden Daten einer Buseinheit (22) auch auf den 
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Eingangsteil der anderen Buseinheit (23) weiterzugeben, um Informationen 
vom Steuerungsproze3 iiber redundante Eingabe-Kanale (24, 25) holen zu 
konnen, und um die auszugebenden Daten einer peripheren 
Oberwachungseinheit (4) zum Zurucklesen zur Verfiigung zu stellen, 

ein Zwischenspeicher (27), 

in dem die auszugebenden Daten vor der Freigabe abgelegt wird, 
eine Ausgabe-Logik (28) 

woriiber die zwischengespeicherten Daten ausgegeben werden und 
eine Kontroll-Logik (11), 

die daruber entscheidet, ob die im Zwischenspeicher (27) gespeicherte 
Daten iiber die Ausgabe-Logik (28) ausgegeben wird. 

12) . Die in den Anspruchen 1 und 22 beschriebenen Anordnungen entfalten 

vorteilhafte Wirkungen, insbesondere hinsichtlich einer Schutzwirkung vor 
Fehlfunktion, wie auf Seite 8 (Zeilen 14-26) und Seite 9 (Zeilen 5-10) der 
Beschreibung erlautert. 

13) . Die Gesamtheit aller technischen Merkmale des Anspruchs 1 bzw. 22 wird durch 

kein Dokument des internationalen Recherchenberichts alleine offenbart. Der Ge- 
genstand des Anspruchs 1 bzw. 22 erfullt somit das Kriterium der Neuheit (Art. 33 
(1) und (2) PCT), 

Die im internationalen Recherchenbericht genannten Dokumente legen den 
Gegenstand des Anspruchs 1 bzw. 22 auch nicht nahe. Somit sind die 
Anforderungen hinsichtlich einer erfinderischen Tatigkeit des beanspruchten 
Gegenstandes erfullt (Artikel 33 (1) und (3) PCT). 

Gewerblich anwendbar ist der Gegenstand des Anspruchs 1 bzw. 22 wie auf Seite 
2 dargetan. Folglich sind die Bedingungen des Artikels 33 (1) und (4) PCT 
hinsichtlich der gewerblichen Anwendbarkeit erfullt. 

14) . Die abhangigen Anspruche 2 bis 18 bzw. 23 und 24 definieren spezielle 

Auslegungen des Systems gemaB Anspruch 1 bzw. spezielle Ausgestaltungen 
der peripheren sicherheitsrelevanten Einheit gemaB unabhangigem Anspruch 22, 
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welche gleichfalls den Anforderungen hinsichtlich Neuheit, erfinderischer Tatigkeit 
und gewerblicher Anwendbarkeit genugen (Art. 33 (2) bis (4) PCT). 

Zu Sektion VII: 

1) . Urn die Erfordernisse der Regel 6.3 (b) PCT zu erfullen, hatten die unabhangigen 

Anspruche 1,19 und 22 in der zweiteiligen Form abgefaBt und die aus dem 
Stand der Technik (siehe D1 bezugl. Anspruch 19; DE-A1-198 57 683 vom 
14.12.1998 bezuglich der Anspruche 1 und 22) in Kombination miteinander 
bekannten technischen Merkmale in den Oberbegriff aufgenommen werden 
sollen. 

2) . Die Dokumente D1 und D2 wurden in der Beschreibung nicht angegeben; auch 

der darin enthaltene einschlagige Stand der Technik wurde nicht kurz umrissen. 
Die Erfordernisse der Regel 5.1 (a)(ii) PCT sind somit nicht erfullt worden. 

3) . Die Beschreibung wurde nicht an die gultigen Anspruche angepaBt; d.h. die 

Beschreibung stellt die Erfindung nicht so dar, wie die Erfindung in den 
Anspruchen gekennzeichnet ist. Die Erfordernisse der Regel 5.1 (a)(iii) PCT sind 
folglich nicht erfullt. 

4) . Die Beschreibung verwendet entgegen der Regel 10.2 PCT die Terminologie und 

Zeichen nicht einheitlich. Die Beschreibung definiert unter dem Referenzzeichen 
"11" einerseits eine Kontroll-E/nfte/Y (Seite 6, Zeile 5) und andererseits eine 
Kontroll-Log/Tc (Seite 7, Zeile 12; Seite 8, Zeile 5). Die Benutzung unterschied- 
licher Terminologie fur anscheinend den ein und selben Gegenstand ist nicht im 
Einklang mit den Bestimmungen der Regel 10.2 PCT. 

5) . Die Beschreibung sollte sich auf Seite 8, Zeilen 3 bzw. 6, auf den 

Zwischenspeicher 27 beziehen, wie dieser auch in der Figur 2 bezeichnet worden 
ist. 



6). Die Beschreibung beinhaltet auf Seite 3, Zeilen 6 bis 8, die Aussage "dessen 
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Inhalt durch Bezugnahme vollumfanglich auch zum Gegenstand des vorliegenden 
Schutzbegehrens gemacht wird". Die Anmelderin will damit ein Dokument zum 
Teil oder in Ganze in die Beschreibung mit aufnehmen. Jedoch ergeben sich 
dadurch Klarheitsprobleme, da es vage und zweifelhaft ist, auf welche Merkmale 
Bezug genommen wird. Weiterhin verstoBt diese Art von Bezugnahme der 
Grundanforderung an jede Anmeldung, daB die Erfindung aus der Beschreibung 
allein verstandlich sein muB. Urn diesen Klarheitseinwand zu beheben kann 
entweder der o.g. Satz einfach gestrichen werden oder der zitierte relevante 
Stand derTechnikgemaB Regel 5.1 (a) (ii) PCT in einer kurzen 
Zusammenfassung diskutiert werden (siehe dazu auch die PCT-Richtlinien, PCT 
Gazette, 11-4.17). 

7). Die Beschreibung stiitzt den Anspruch 22, welcher sich auf eine periphere 
sicherheitsrelevante Einheit bezieht, nicht zweifelsfrei. 

Die Beschreibung fuhrt aus, daB die Figur 2 den internen Aufbau der peripheren 
sicherheitsrelevanten Einheit des Systems zeigt (vgl. Seite 3, Zeilen 25 bis 27; 
Seite 7, Zeilen 22 und 23). Somit bilden alle gezeigten Komponenten der Figur 2 
die periphere sicherheitsrelevante Einheit. 

Gegensatzlich zu dieser vorgenannten Aussage wird in den Figuren 1 und 2 eine 
periphere sicherheitsrelevante Einheit 9 gezeigt, welche nur aus zwei Bus- 
Einheiten 22 und 23 besteht. Dementsprechend ist auch die Beschreibung auf 
Seite 7, Zeilen 25 bis 30. 

Der unabhangige Anspruch 22 beansprucht eine periphere sicherheitsrelevante 
Einheit. Diese besteht laut Anspruch 22 aus folgenden Komponenten: 
zwei Buseinheiten (22,23), 

einem Zwischenspeicher (27), 
einer Ausgabe-Logik (28), und 
einer Kontroll-Logik (1 1). 

GemaB Figuren 1 und 2 und der Beschreibung auf Seite 7 (Zeilen 25 bis 30) sind 
jedoch die Komponenten "Zwischenspeicher (27), Ausgabe-Logik (28) und 
Kontroll-Logik (11)" keine Teile einer peripheren sicherheitsrelevanten Einheit (9). 
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Die Beschreibung stutzt somit den Anspruch 22 nicht zweifelsfrei (Art. 6 PCT). 

8). Im Anspruch 19 sollte es korrekterweise "Datenubertragungsablaufe" und im 
Anspruch 23 sollte es korrekterweise "zwischengespeicherten Daten" heiBen. 

Zu Sektion VIII: 

1 . Die folgenden Anspruche sind unklar und erfulten daher nicht die Erfordernisse 
des Artikels 6 (PCT). 

1a. In den Anspruchen wird mehrfach die Formulierung insbesondere 

verwendet. GemaB den PCT-Richtlinien (PCT Gazette, Section IV, III-4.6) sind 
derartige Definitionen dahingehend zu untersuchen, ob sie keine Zweideutigkeiten 
verursachen. Ferner sind die technischen Merkmale, die dem Ausdruck 
"insbesondere" nachfolgen, als optional bezuglich des Schutzumfangs an- 
zusehen; d.h. diese Merkmale haben keinen limitierenden Effekt mit Blick auf den 
Schutzbereich. 

Dementsprechend werden die dem Ausdruck "insbesondere" nachfolgenden 
Merkmale bei der Anspruchsanalyse auBer acht gelassen. 

1 b. Der Anspruch 1 ist unklar (Art. 6 PCT), denn es ist vage was "im Fehlerfall" als 
"ein sicherer Zustand der Ausgabe-Einheit (10)" zu verstehen ist, und wann 
dieser "sichere Zustand der Ausgabe-Einheit (10) fur den SteuerungsprozeB_ _ 
eingeleitet wird". 

1c. Der abhangige Anspruch 4 ist unklar (Art. 6 PCT) bezuglich der Definition " uber 
einen Zwischenspeicher verfugt, der von einer Bus-Einheit (23) ruckgelesen wird 
...". Es ist unverstandlich, was exakt mit dem Verb "ruckgelesen" gemeint ist. 
Der abhangige Anspruch 4 bezieht sich ferner auf "die Ausgabe-Logik (28) mit 
dem Ausgangssignal (29) von der peripheren Uberwachungseinheit (4)". 

Weder die Ausgabe-Logik (28) noch das Ausgangssignal (29) haben eine 
vorausgehende Definition, als daB im Anspruch 4 mit bestimmten Artikel darauf 
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Bezug genommen werden konnte. 

Weiterhin ist 29 der Ausgang der Ausgabe-Logik 28 (vgl. Seite 8, zweiter Absatz) 
und njehi "das Ausgangssignal (29) von der peripheren Uberwachungseinheit (4)". 

1 d. Der neu aufgenommene abhanaiae Anspmnh q bezieht sich auf "Daten derSPS". 
Eine SPS wird in keinem vorausgehenden Anspruch 1 bis 8 oder vorausgehend 
im Anspruchswortlaut des Anspruchs 9 definiert. Somit ist unklar, wie die SPS im 
System eingebunden ist. Der Anspruch 9 erfullt daher nicht die Erfordernisse des 
Artikels 6 PCT. Mit der SPS im Anspruch 9 ist vermutlich die Steuerung (1) 
gemeint. 

1 e. Die abhangigen Anspruche 1 5 und 1 6 sind unklar (Art. 6 PCT) . 

Die Gegenstande der Anspruche 15 und 16 beanspruchen als Negativmerkmale 
"mit nicht sicherheitsrelevanten Standard Bausteinen zum Busverkehr auskommt 
und keinerlei sicherheitsrelevante Spezialbausteine bendtigt. " sowie "da/3 die 
Funktion bei Standard-Bussystemen betriebsfahig ist und ohne zusatzliche 
Installation von weiteren Bussystemen gder speziellen Komponenten 
funktionsfahig ist." Diese Negativmerkmale versuchen, zu definieren, was njcht 
beansprucht wird. Mit Blick auf die Negativmerkmale kommt die Formulierung 
dessen was nicht beansprucht wird, einem sogenannten "Disclaimer" 
[AnspruchsausschluB] (vgl. PCT-Richtlinien, 111-4.12 und V-2.2) gleich, der 
ublicherweise vermieden werden soil. Neben derTatsache, daB gemaB Artikel 6 

PCT der Anspruch denjenigen Gegenstand anzugeben hat, fur den Schutz 

begehrt wird, und nicht jenen fur welchen kein Schutz begehrt wird (Disclaimer), 
ist die vorgenannte Negativmerkmalsdefinition auch unklar (Art. 6 PCT). 

Es ist bezuglich Anspruch 15 nicht unzweideutig klar, was mit "nicht 
sicherheitsrelevanten Standard- Bausteinen zum Busverkehi" beansprucht wird. 

Es ist bezuglich Anspruch 16 ferner unklar, was mit "der Funktion" gemeint ist, 
zumal eine Funktion nirgends in den Anspruchen definiert wurde. "Die Funktion 
von Standard-Bussystemen" stellt weiterhin kein zusatzliches Merkmal eines 
beanspruchten Systems im Sinne der Regel 6. 4 PCT dar. 
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1f. Es ist bezuglich des abhangigen Anspruch 17 unklar, was mit "der Funktion" 

gemeint ist, zumal eine Funktion nirgends in den Anspruchen definiert wurde. "Die 
Funktion" stellt weiterhin kein zusatzliches Merkmal einer beanspruchten 
Schaltungsanordnung im Sinne der Regel 6. 4 PCT dar. 
Die Anspruche haben nirgends sogenannte " normale dezentrale Einheiten" 
definiert, als daB im Anspruch 17 der genannte Austausch aus den Anspruchen 
heraus verstanden werden konnte. 

1 g. Die im abhangigen Anspruch 1 8 genannte "Sicherheitsfunktion" hat keine 
vorausgehende Definitionsbasis in einem anderen Anspruch. Sie ist daher 
bezuglich des bestimmten Artikels unverstandlich und macht den Anspruch 18 
folglich unklar. 

2. Der unabhangige Anspruch 1 9 ist unklar (Art. 6 PCT). 

2a. Der Anspruch 19 entspricht nicht den Erfordernissen des Artikels 6 PCT, weil der 
Gegenstand des Schutzbegehrens nicht klar definiert ist. Im Anspruch wird 
versucht, den Gegenstand durch das zu erreichende Ergebnis (" ... so daB ein 
Fehler nicht \n den ProzeB, ... , gelangen kann.) zu definieren; damit wird aber 
lediglich die zu losende Aufgabe angegeben. Zur Beseitigung dieses Mangels 
erscheint es erforderlich, die fur die Erzielung dieses Ergebnisses notwendigen 
technischen Merkmale in den Anspruch aufzunehmen. 

2b. Der Schutzgegenstand des Anspruchs 19 ist auf ein System gerichtet. Jedoch 
werden die feile des Systems nicht definiert, und es ist unklar, ob die periphere 
Uberwachungseinheit (4), die Steuerung (1) und die periphere 
sicherheitsrelevante Einheit (9) Baugruppen des Systems sind oder nicht. Das 
Adjektiv "peripher" erweckt den Anschein, daB zumindest die 
Uberwachungseinheit (4) und die sicherheitsrelevante Einheit (9) extern von dem 
System angeordnet sind. 



2c. Der Anspruch 19 nimmt Bezug auf " den SteuerungsprozeB" (vgl. Seite 15, Zeile 
24). Im Anspruch 19 ist weder ein SteuerungsprozeB angegeben, noch ist aus 
dem Anspruchswortlaut heraus verstandlich was mit " dem SteuerungsprozeB" 
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gemeint sein konnte. 

2d. Aus der Beschreibung (Seite 7, Zeilen 3 und 4; Seite 3, Zeile 1 0 ff.; siehe auch 
Titel gemaB Antragsformular) geht hervor, daB die nachfolgenden Merkmale fiir 
die Definition der Erfindung wesentlich sind: 

die Schaltungsanordnung wird in Bussystemen angewendet; 
die Bussysteme sind ringformiger Natur. 

Da der Anspruch 19 sich weder auf Bussysteme noch auf ringformige 
Bussysteme beschrankt, entspricht er nicht dem Erfordemis des Artikels 6 PCT in 
Verbindung mit Regel 6.3 (b) PCT, daB jeder unabhangige Anspruch alle 
technischen Merkmale enthalten muB, die fur die Definition der Erfindung 
wesentlich sind. 

3. Der abhangige Anspruch 20 definiert ein "System nach Anspruch 1 9, bei welcher 
zwischengespeicherte Daten der peripheren sicherheitsrelevanten Einheit (9) uber 
eine Bus-Einheit gelesen und durch eine Kontroll-Logik (11) uberwacht und 
erkannt werden.". 

Erstens ist unklar, was mit "welcher" gemeint ist und zweitens ist die Erkennuna 
von zwischenoespeichertftn Platan durch eine Kontroll-Logik nirgends in der 
Beschreibung ausgefuhrt. Der Anspruch 20 ist daher unklar (Art. 6 PCT). 
Drittens ist unklar, welche zwischengespeicherten Daten gelesen werden (woher 
kommen die Daten und was beinhalten sie ?). 

4. Der abhangige Anspruch 21 ist unklar (Art. 6 PCT). 

Denn es ist unklar, was mit dem Relativpronomen "bei welcher" (Seite 16, Zeile 2) 
ausgedruckt werden soil. Weiterhin ist der Anspruchswortlaut unklar mit Blick auf 
den Begriff "sicherer Zustand der Datenubertragung". Es ist absolut 
unverstandlich, welches technische Merkmal damit konkret unter Schutz gestellt 
werden soli. Auch ist im Anspruch 21 eher ein Verfahrensschritt definiert als ein 
fiir den Anspruch 21 notwendiges Vorrichtungsmerkmal. 
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Sckaltungsanordnung zur gesicherten 
Datenubertragung, inabeaondere in ringfonnigen 
Bus.systemen 



Beschreibnng 

Die Erfindung betrifft eine Schaltungsancrdnung zur 
gesicherten Datenubertragung, insbesondere in ringfdrmigen 
10 Bussystemen. 

Im Maschinen- und Anlagenbau werden heute nicht selten 
Bewegungeh und Vorgange. gesteuert oder geregelt, die im 
Fehlerfall oder bei Versagen eine Gefahr fur das Leban und 
IS die Gesundheit von Personen, insbesondere des bedienenden 
Personals, darstellen. Neben diesen Gefahren gilt es aber 
auch wertvolle Maachinenteile zu schutzen, die bei ro&glichen 
Fehlfunktionen hohe finanzielle Schaden erleiden konnen. " 

20 Eventuell auftretende Fehler muesen daher durch den ProzeS 
bzw. die vorhandenen Steuereinrichtungen erkannt werden, und 
die Maschine sollte stets in einem Zustand gefuhrt werden, 
der als gefahrlos anzusehen ist. In der Regel sind hierfur 
redundant e Strukturen notwendig, die unabhangig von der 

25 eigentlichen Steuerung oder Regelung die 

Sicherheitsfunktionen uberwachen. Im Maschinen- oder 
Anlagenbau ist zur Fehlererkennung haufig eine Feststellung 
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eines Einfachfehlars hinreichend. Nach Erkennen dieses 
Fehlers kann dann der SteueruagaprozeS £ abgebrochen werden 
und in einem sicheren Zustand verweilen. Bin event ueller 
Schaden durch die fehlerhafte Fortfuhrung des Prozesses ist 
5 tJamit unterbunden. 

Die Verfahren zur Fehlererkennung und deren notwendige 
MaSnahmen sind in den internationalen Normen DIN V VDE 08 01 
und DIN ISO 61508 festgehalten. Durch die Grundlagen dieser 
Normen haben die Hersteller von Automatieierungseinrichtungen 
in den letzten Jahren unterschiedliche Strategien entwickelt, 
welche sichere Ubertragungen an Bussysteraen erlauben, siehe 
beispielsweise den Profibus mit P-Profil, PNO und Safety-Bus 
P, der Fa. Pilz und Sick. 



10 



15 



20 



Zusatzlich werden Steuerungen auf den Markt gelangen,' die 
bereits intern redundante Strukturen aufweisen und so im 
Zusammenspiel mit dan genannten sicheren Bussystemen eine 
Fehlererkennung zulassen, siehe beispielsweise die Bussysteme 
der Fa. Siemens, insbesondere die Geratereiche S 7 400 F, 
Oder die PSS 3000-Serie der Firma Pilz. 



Die dort iraplementierten Verfahren lassen sich jedoch nur bei 
vollstandig neuer Installation der notwendigen Komponenten 
25 einsetzen und schutzen nur mangelhaft gegen systematische 
Fehler. 

Die Erfindung macht es sich viel raehr zur Aufgabe, Fehler in 
einem Prozefi zu erkennen, der lediglich mit Standardeinheiten 
30 aufgebaut ist. 

Daruber hinaus sollen vorzugsweise nicht nur eventuelle 
Fehler beim Datentransport uber ein verwendetes Bussystem,' 
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10 



20 



30 



sonderh auch Storungen Oder Programmierf ehler in der 
Steuerungseinrichtung erkannt und eliminiert werden. 

Die Schaltungaanordnung stellt dan.it eine Realisierung einea 
■Verfahrena vor, daa bareita unter dem nachver'affentlichten 
Patent Nr. 198 57 683.8 angemeldet wurde, deasen Inhalt durch 
Bezugnahme vollumf anglich aueh zum Gegenstand des 
vorliegenden Schufczbegehrens gemacht wird. 



Daa or f indungag u maflc Verfahren eignet aich besonders fur alle 
ringfdrmigen Buasysteine, wobei die beachriebene Tecbnik 
optimal auf den Interbus-Standard abgestimmt 1st. Hier wurde 
bereits Anf ang 1999 ein Anforderungsprof il erarbeitet und 
ver3ffentlicht, Zeitachrift I EE, April 1999, Karsten Meyer- 
15 Grafe: "lnterbu3 goee Safety. 

Die Brfindung wird nachfolgend detaillierter anhand der 
beigefugten Zeichnungen und unter Bezugnahme auf bevcrzugte 
Ausfuhrungsformen beschrieben. 



Ea zeigen: 

Fig. 1 den Aufbau fur einer ersten Ausfuhrungsform einea 
Syatema zur gesicherten Datenubertragung, 

25 Pig. 2 den intemen Aufbau der peripheren 

aicherheitsrelevanten dononcralen Einheit des 
Systems zur gesicherten Datenubertragung. 



Die Erfindung wird nachfolgend detaillierter, zunachst unter 
Bezugnahme auf Fig. 1 beschrieben. Fig. 1 ze igt einen 
geeigneten Aufbau fur ein derartiges System. 
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Die Steuerung (l) ubemimmt im Prozefi alle Steuerungs- vnd 
Regelfunktionen, wie dies beiapielaweiae von dem 
herkommlichen Interbus-System her bekannt ist. Die Steuerung 
(1) «re erkennt auch mogliche Fehler und kann Prozeese 
5 'Unterbrechen oder in einen sicheren Zustand fuhren. 

Im Falle einas eigenen Versagens oder bei fahlerhaf tern 
Datentransport ist die Steuerung (1) ee jedoch 
herkommlicherweiae nicht in der Lage, den gewunachten 

10 sicheren Zustand herbeizufuhren . Dieser Ausfall iat 
beispielaweise auch dann gegeben, wenn in dem 
Steuerungssystem bereits eine weitgehende Trennung von 
Prozafisteuerung und Sicherheitskontrolle vorliegt. Da es in 
herkommlicher Weise auch hier keine Redundan2 gibt, wlrd ein 

15 unerkannter Fehler tn6glicherweise schwerwiegende Folgen 
haben. 



Entaprechend der Erfindung werden weitere Komponenten 
hinzugefugt, die einen -moglichen Fehler erkennen und 
eliminieren. Diese Einheiten Binds Sine periphere 
Uberwachungseinheit (4) und eine oder mehrere periphere 
s icherhei t ar elevahte dcgcntralc Einheiten" (9) im ProzeS 9-] 
die nur dort notwendig sind, wo Daten rait Sicherheitsbezug 
empfangen oder gesendet werden. 



20 



25 



30 



Die Steuerung (1) beinhaltet ein Daten-Abbild-Register (2) , 
das alle Ausgangsdaten und weitere Kontrollsignale uber die 
Datenleitung (13) zu den peripheren Einheiten (7, 8, 12, 
periphere sicherheitarelevoafce Einhait 9 und periphere 
Uberwachungseinheit 4) aendet. 

Da der Bustransport ahnlich wie ein Schiebaragister 
funktioniert, senden alle peripheren Einheieen Ober die .' 
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Ruckleitung (14) im gleichen Buszyklue ihre Eingangsdaten zur 
Steuerung, die im Daten-Abbild-Register (3) zur Verfugung 
stehen. In einem folgenden SPS-Zyklus (Speicher- 
programrtderbaren-Steuerungs-Zyklus) verarbeitet die SPS 
•CSpeicher-programmierbare-Steuerung) nun die Daten aus ihren 
beiden Abbild-Registem (2, 3) und erzeugt so den notwendigen 
Zustand fur den Pro2sfi. ■ 

Ohne die periphere &erwachungseinheit (4) e es und die 
periphere sicherheitarelevante Einheit (9) iat die SPS se 

jedoch nicht in der Lage, einen Prograramierfehler, einen 
Zustand durch Storung oder Ausf all oder einen Datenfehler 
durch falschen Bustransport zu regeln. Die periphere 
Oberwachungaeinheit (4) beinhaltet daher einen eigenen 
Mikroprozesaor, der die gesendeten Daten der SPS uberwacht 
und nur die sicherheitsrelevance Grofien auf Sinnf alligkeit, 
insbesondere deren Korrektheit, untersucht. 

So iat die periphere uberwachungseinheit (4) mit der 
Transfer-Einheit (5) in der Lage , die SPS zu uberwachen. Die 
periphere uherwachungeeinheit (4) ee kann aber noch 
zusatzlich uber die im Rucklauf installierte Transfer-Einheit 
(6) auch die Dacen der Einga.nge der doecntral cu peripheren 
Einheiten lesen. Da die periphere sicherheitarelevante 
Einheit (9) ihre Auaganga information (D3) auch direkt an den 
*e Eingangsteil der Buseinheit (23) -f€^- weitergibt, gelingt 
so eine direkte Kontrolle, ob der Bustransfer ordnungsgeroaS 
funktioniert hat. 

Ferner iat die periphere Uberwachungs einheit (4) mit ihrer 
Transfer-Einheit (5) auch in der Lage, die Daten fur die 
periphere sicherheitarelevante dooontiral e Einheit (9) zu 
manipulieren. Die periphere oberwachunge einheit (4) ee kann 

Ejl5fa ,GEAENDERTES BLATT 



07-09-2001 2001 17=52 



BLUMBACH KRAMER 1 PARTNER 



Nr. 1847 S. DE00017g6 



6 

Insbasondsre Daten der SPS ubarschreiben und bo sine 
Zustimmung zur Datenausgabe von der peripherea 
sicherheitsrelevantea Binheit (9) unterbinden. Die periphere 
sioharheitsrelevaate doacntralc Einheit (9) wird nur dann 
aktiv, wenn dleae uber die Kontroll-Einheit (ii) eine 
Zustimmung fur die Daten .der Ausgabe-Einheit (10) erhalten 
hat. 

Das Timing mat dem Datentransport ist in der folgenden 
Tabelle gezeigt: 
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,Das Timing-Diagramm zeigt den Zustand nach jeder Schiebe- 
Information im Ring anhand eines bevorzugten 
GrfindungBgcmalSQii Beispiels, dera Interbus System der Firma 
Phoenix Contact GmbH und Co. KG. 

Die Information AC3 ist von der peripheren 
Oberwachungseinheit (4) mit der Transf er-Einheit (5) 
manipulierbar und kann uberschrieben werden. Somit erhalt die 
periphere sicherheitsrelevante dQgcntralc Einheit (9) in 
ihrer Kontroll-Logik (11) eine Zusatz- Information, die eine 
fehlerhafte Ausgabe unterbindet. 

Wie aus dem Timing-Diagramm ebenfalls ersichtlich ist, kann 
die periphere Uberwachungseinheit (4) auch die Daten der 

Ausgabe von der periphere aiaherheitsrslevantea Einheit (9) 
lesen (EC3) , Diese Daten stellen die direkte Ausgabe- 
Information der periphere eicherheitsrelevanten Einheit (9) 
dar, so dafi" ein Busfehler sicher erkannt wird. 

Der interne Aufbau der peripheren eicherheitsrelevanten 
dec antral en Einheit (9) ist in Fig. 2 dargestellt . 

Die periphere sicherheitsrelevante Einheit (9) ee 4if besteht 
aus zwei Buseinheiten bauotoincn (22, 23), so da£ 
Eingangsinformationen redundant vom CtQucrungop rescfl P 
geholt werden konnen (24, 25). Zusatzlich wird die 
Ausgabe information Dn von einer Busoinheit (22) uber den 
Eingangeteil der anderen Buaeinheit (23) B abgebildet, Ein 
mdglicher Fehler bei der internen Ablage oder beim 
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Bustraneport wird damit im Folge-Zyklus des Bustransports 
erkannt. Die Ausgabeinf ormation von Dn wird von der Steuerung 
(SPS) in den Zwischenspeicher (7) geschriaben. 

Die Kontroll-Logik (U) entscheidet aber zusatzlich 
daruber, ob die Information des Zwischenspeichers (7) uber 
die Ausgabe-Logik (28) an der Peripherie erscheint. Diese 
Kontroll-Logik (11) 44f kann entweder die gespeicherte 
Information freigeben Ober die Leitung (30) 4 oder den 
Zustand ldschen uber die Leitung (31) 4, so daS der Auegang 
(29) den SteuerungsprozeS * in einen aicheren Zustand 
bringt. 

Die Schaltungsanordnung funktioniert daher im Prinzip in 
vielen Bereichen genauso,' wie ein normales dezentrales SPS- 
System. Die Komponenten erlauben es lediglich zuaatzlich. 
Eingange redundant zu uberwaehen und gespeicherte 
Ausgabeinformationen vor der Ausgabe auf Sinnfalligkeit, 
insbesondere Fehlerfreiheit, zu untersuchen. Perner kann die 
Oberwachungseinheit auch Fehler erkennen, die nicht nur durch 
Ausfall oder Stdrung zustande gekommen sind, sondem einen 
P-rogrammier- oder-Pa-rametrierfehler als Ursache hat ten". 

Die vorliegende Schaltungsanordnung erlaubt es somit, an 
ringformigen Standardbuesystemen Daten zu ubertragen, die fur 
den Aufbau fehlertoleranter Strukturennotwendig sind. 

Zur Realisierung wird eine tJberwachungseinhelt und werden 
periphere dczcnti-al o Ein- und Ausgabeeinheiten, die Daten zur 
Regelung oder Steuerung senden oder encgegennehmen, 
eingesetzt. 
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Die Schaltungsanordnung ubernimmt die Aufgabe, eventuelle 
Fehler zu erkennen, die fir den steuerungaprozeS 
insbesondere fur die tibertragung von Steuerungs-, Senaor- 
oder Aktordaten, innerhalb einer Maschine oder Anlage zur 
5 .Gefahr werden konnen. Durch den internen Aufbau identif iziert 
die Schaltungsanordnung bereits vor der Pehlerubertragung zum 
SteuerungsprozeS einen eventuellen Fehler und leitet eine 
geaieherte Abschaltung ein. Dabei ist es gleichgultig, ob die 
1 externa Steuerung Oder das verwendete Bussystem fur den 

10 Fehler verantwortlich ist. 
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Patentanspruche 

1. System ohaltungoanordn^ing zur gesicherten 

Datenubertragung In ringformigen Bussystemen, 
nafassend 

eine Steuerung (1), die Auagangadaten und 
Kontarollsignale fur einen Steuerungsprozefi zu 
peripherea Einheiten (4, 7, 8, 9, 12) sendet, 
eine periphere Oberwachungseinheit (4), die 
eine erste Transf er-Einheit (5) zur 
Uberwachung der geaendeten Daten und 1 
eine zweite Transfer-Einheit (6) zur 
Uberwachung von in die Steuerung (1) 
zuruckzulesenden Daten aufweist, und 
mindestens eine periphera eicherheitsrelevante 
Einheit (9) zum Empfangen oder Senden von Daten mi t 
Sicherheitsbezug, in der Daten zur Ausgabe 
zwisehengespeichert warden, die 

eine Xontroll-Logik (11) zur tiberwachung der 
zwischengespeicherten Daten und 
eine Ausgangs- Einheit (10) zur Ausgabe der" " " " 
zwischengespeicherten Daten aufweiat, 
wcbei die zwischengespeicherten Daten durch die 
, Kontroll-Logik (11) * so uberwacht warden, dafi im 

Fehlerfall ein sicherer Zustand der AusgaJbe-Einheit 
(10) fur den SteuerungsprozeS eingeleitet wird, 
wobei die erste Transfer-Einheit (5), die von der 
Steuerung (1) ausgesendeten Daten derart uberwacht, dafi 
im Fehlerfall Freigabe-Daten fur die periphera 
sicherheitsrelevante Einheit O) unterdruckt oder 
gel6scht werden, so dafi fehlerhafta Daten nicht in den 
Steuerungsprozeft, insbesondere in 

GEAENDERTES BLATT 



17:49 BLUM8ACH KRAMER & PARTNER 



\ 1847 S. 

DE0001796 



11 

DatenQbertragungsablaufe, gelangen, 
wobei uber die zweite Traaafer-Einheit (6), die 
Eingangsdaten der peripheren aicherheitaralevanten 
Einheit (9) , sowie dsren zwischengespeicherten Eaten 
zurfekgelesen werden, 

hci wclchcr eia* F ig. 1 , sfee* feQntrollicrt und 
auf mQglichQ Fohlcr untcroucht und eiae dozcntralc 
oin rchler £ tea* und guaatalich bcrcitj 

dor porlphcrcn Einheit (D) Obcr cino swoito Bua-BiiUiGit 
rUclclicot und dcrart mSglioha rxanoportfchlor e» ft ? 

wobai die ■ oighorholtorolovante peripheric Einhei - t (!> f 
night nur die awigghangoopoicihcrtc Auogabo (D3) 
oondarn auch cine - rodundaato Eingabe far dio 
ObocwohunggQinhoiA (4) eut VerfUgung c.tecllfei 

2. System nach Anspruch 1 
daduxch geksnnzeichaet, 

da3 die zwiachengespeicherten Daten und die 
- Eingangadatea dex -peripherea sicherheitsxelevaatea - 
Einheit (9) der peripherea tiberwachuagseinheifc (4) zur 
Verfiigung geatellt warden. 

3. System aach Anspmch 1 odex 2, 
dadurch gekennzeichaet, 

daB die periphere sicherheitarelevante Eiaheit (9) liber 
eine Bus-Einheit (23) die zwischengdspeicherten Daten 
zurtickliest. 
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4. System ohaltungoanordnung nach den Anspnichen 1 bis 3 3*, 
dadurch gekennzeichnet, 

dafi die periphere sicherheitsrelevante a Einheit (9) ea- 
■ {Fig.2) titer einen Zwischenapeicher (27) verfugt eft, der 
von einer svej b ben Bus -Einheit (23) rvickgelesan wird 
und so noch vor der Preigabe zum Steuerungspro2aS *S 
inabeaondere von liber den Bus QJbertragenen Daten, -fr tiber 
die Ausgabe-Logik (28) mit dem a Ausgangaaignal & eft 
(29) von der peripheren Uberwachungaeinheit (4) Fig. - 1, - 
kontrolliert wird, 

5. System chaltungaanordming nach den Ansprtichen 3 oder 4,4r 
fe- dadurch gekennzeichnet, * 

dafi im- ' Drogcfl die periphere sicherheitsrelevante 
doflcntralo Einheit (9) eft eine weiters Buseinheit 22 
umfafit, oingcbracht aind 1 (Fig. a) -, so dafi die 
periphere sicherheitsrelevante Einheit (9J \iber 
redundante Eingabe-Kan&le (24, 25) verfiigt eft und so den 
angeschlossenen SteuerungeprozeS 5- redundant (iberwacht 
eft und einen Fehler erkennen kann. 

6. System nach. den Anaprttchen 1 bis 5, 
dadurch gekenna eichnet , 

da£ die Kontroll-Logik (11) dariiber entscheidet, ob die 
im Zwischenspeicher (27) gespeictierte Daten uber die 
Ausgabe-Logik (28) auagegeben wird. 

7. Syatem nach den An sprue hen 1 bis S, 
dadurch gekennz eichnet , 

dafi die Kontroll-Logik (11) die zwischengespeicherte 
Daten freigibt oder loscht. 
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8. System naeh den Anspruchen 1 bis 7, 
dadurch gekennzaichnet, 

dafi die periphere tberwachungseinheit (4) ait der eraten 
Transfer - Einheit (5) in der Lage iat, die Daten fur 
die periphere sicherheitsrelevante Einheit (9) zu 
nanipulieren. 

System naeh den Anspruchen 1 bis 8, 
dadurch gekennzeichnet, 

dafi die periphere ftberwachungseinheit (4) Daten der SPS 
uherschreibt. 

10. System naeh Anspruch 1 bia 3, 
15 dadurch geJcennzeicbnet, 

dafi durch das fibersehreiben der Daten, die Zustimmung 
zur Datenausgabe aus der peripheren 
sicherheifcsrelevanten Einheit (9) unterbunden wird. 

20 11. System naeh Anspruch 1 bia 10, 
dadurch gekennzeichneti 

dafi die KbhtrblT-Logifc (11) von "der peripheren 
eberwaohungseinheit (4) eine Information erhalt, die 
eine fehierhafte Auagabe unterbindet. 

25. 

12. System naeh den Anspruchen 1 bis '11, 
dadurch gekennzeichnet, 

dafi die periphere sicherheitsrelevante Einheit (9) aur 
dann afctiv wird, wenn diese fiber die Kontroll-Einheit 
30 ^ «iae Zustimmmg fur die Daten der Ausgabe-Einheit 

(10) erhalten hat. 



9. 



10 
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13. System efealbungoanordfaung nach den Anspruchen 1 bis 12,5- 
* dadurch gekennzeichnet, 

d ie angcoproohcincn peripheren Einheiten (4/ 7, 8, 9, 
12) aeeh selbst logieche Verkntlpfungen durchftihren 
konnen und so im Gesamtverbuad aine hohere 
Prozei^eschwindigkeit erreicht wird. isfe 

14. System chaHxmgoanordnung nach den Anspruchen 1 bis 13,* 
S- dadurch gekennzeichnet, 

dalS die periphere foerwachungseinheit (4) rmeh selbst 
Steuerungsfunktionen Oberninnnt und so ein Verbund mit 
einer Sicherheitssteuerung entsteht. 



10 



15, System e haltungoanordnung nach den Ansprxlchen l bis 14 ,& 

15 dadurch gekennzeichnet, 

da£ die periphere sicherheitsrelevante doaantralo 
Einheit (9) mit nicht sicherheitsrelevanten 
Standard- Bausteinen zum Busverkehr auskommt und 
keinerlei sicherheitsrelevante Spezialbausteine 

20 beniitigt. 

16 v -System e haltungoanordnung nach den Anspruchen 1 bis" 15/5" 
^ dadurch gekennzeichnet, 

dafi die Funktion bei Standard-Bussystemen betriebsf&hig 
25 iat UI ^d ohne zusatzliche Installation von weiteren 

Bussystemen oder speziellen Kompohenten funktionsf ahig 

ist. 



30 
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17. System chaltungoanordnung nach den Anspruchen 1 bis is,* 
4 dadurch gekennzeichnet, 

dafi die Funknion durch Hinzufilgen der peripheren 
tiberwachungseinheit (4) Fig. i r und durch Austausch von 
normalen peripheren doaontralcn E inheiten durch 
periphere sicherheitsrelevante Einheiten (9) Figg, 
nachtraglich installierbar iet. 

18. System chalt^geanordnung nach den Anspruchen 1 bis 17,* 
dadurch gekennzeichnet, 

dafi die Sicherheitsfunktion deg Systems auch 
nachtraglich durch Hinzufugen von Hardware - Elementen 
oder Software -Bausteinen erweiterbar ist. 

19. System ohaltungoanordnung zur geeicherten 

4* Datentibertragung, insbeaondere in ringformigen 
Bussystemen, 

bei welcher eine periphere Oberwachungseinheit (4) 
F *9* *r die von einer Steuerung (i) ausgesendeten Daten 
kontrolliert und auf moglicho Pehler untersucht und im 
Fehlerfall Freigabe-Daten fOr eine periphere 
sicherheitsrelevante dogGntral-Q Einheit (9) xonterdrackt" " " " 
Oder lftecht, so daS ein Fehler nicht in den 
SteuerungsprozeiS insbesondere nicht in 
Datenubertragunsablaufe, gelangeji kann. 

20. System chalttingaanordnung nach Anspruch 19 i; 

4* bei welcher zwischengespei chert e Daten der peripheren 
aicherheitarelevazxten Einheit (9) uber eine nwcita 
Bus-Einheit (23) gelesen und 
der art m5gliche Tranopogt fehler durch eine 
Kontroll-Logik (11) 44f uberwacht und erkannt werden. 
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21. Syatesn ohalfeungaonordnung nach Anspruch 19 4 oder 20, 
43-, *3r bei welcher durch die Kontroll-Logik (11) -fsf eln 

sicherer Zustand der Datenfibertragung, insbeaondere der 
Ausgabe-Einheit (10) von Dafccn eingeleitet wird. 

22. Peripbere sicberbaitsrelevante Einbeit in einem System 
zur geeicberten Dataniibertraguag in ringformigen 
Buasystemen, umfassaud • 

zwei Buseinbeiten (22/23), 
uxa die auszugebenden Daten einer Buseinbeit 
(22) auch auf den Eingangeteil der anderen 
Buseinbeit (23) weiterzugeben, um Infomationen 
vom SteuerungsprozeS uher redundante Eingabe-Kanale 
(24, 25) bolea zu konnen, und um die auszugebeaden 
Daten einer peripheren fib erwacbungs einbeit (4) zum 
Zuriicklesen zur Verffigung zu stellen, 
ein Zwischenspeicher (27), in dem die 
auszugebenden Daten vor der Freigabe abgelegt wird, 
sine Ausgabe-Logik (28).wbruber die 
zviscbengespeicberten Daten auagegeben werden und 
eine Xontroll-Logik (11), die daruber entscbeidet, 
ob die im Zwiscbeaspeiaber (27 ) gespeicberte Daten- — 
uber die Ausgabe-Logik (23) ausgegebea wird. 

23. Peripbere sicberbeitsrelevante Einbeit nacb Ansprucb 20, 
dadureb gekennzsichnet, 

dafi die Kontroll-Logik (11) die zwiscbnegaspeicherten 
Daten freigibt oder ISscht. 



30 
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24. Peripkare aieaaraeifearelavaiite Einheit naeh dan 
Aaspruchen 22 oder 23, 
dadureb. gekennzeiahnet, 
- 5 da£ die Kontroll-Logik (11) laformationea von der 

peripheren foerwachungseinheifc (4) erhalt, mn dasait eine 
fehlerhafte Ausgabe unterbinden zu konaen. 

■> 10 
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Zusaamenfassung 

Die vorliegende Schaltungsanordnung srlaubt es, an 
. ringformigen Standardbusaystemen Daten zu Obertragen, die fur 
den Aufbau fehlertoleranter Strukturen notwandig B ind. Zur 
Kealisierung bendtigt man eine Oberwachungseinheit und 
pariphere de*****^ Bin- und Ausgabeeinfaeiten, die Daten zur 
Regelung oder Steuerung senden oder entgegennehmen . 

Die Schaltungsanordnung uberninunt die Aufgabe, eventuelle 
Fehler zu erkennen, die fur den Prozefi innerhalb einer 
Maschine oder Anlage zur Gefahr werden kSnnen. Durch den 
intemen Aufbau identif iziert die Schaltungsanordnung bereits 
vor der Fehleroff enbarung zum Prozefi einen eventuellen Pehler 
und leitet eine gesicherte Abschaltung ein. Dabei ist es 
gleichgaltig, ob die exteme Steuerung oder das verwendece 
Busaystem fiir den Pehler verantwortlioh ist. 
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S U n b ge V n 0n vo 2 r° ^^l^^^^T^X"*^ * d6n E '™« ■" * naUonale Phase vorgeschriebenen 
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ANMERKUNGEN ZU FORMBLATT PCT/ISA/220 
ordhung und der V.rwa»ungarichoini.n zu dieaem Vertrag zugmnSe ^X^l^Z^-^ ^ 6n,w A asan » ( TOT ). Auatthrunga- 

HINWEISE ZU ANDERUNGEN GEMASS ARTIKEL 19 

Nach ErtiaH dea intemationalen RecberchertberichtB hat der Anmelder din 1J: . 

Anmeldung « andam. E. »t jedoch zu betonen, d.B. dadtoTaX dTr HmSSSj ""Ll** *?»P rile * w Vernation alon 
Zaichnuryen) wflhrend dea intemationaJen vorlaufigenftSfangs^ (AnaprOche, Beachreibung und 

^L^d^^*P^ B Artikel i&Craic^ r»rmalerweia. k.ine Notwendgkei. 

Sohutze. dw VertBenthehung deaer Anapruche wOnaehl oder ein an^^rwf mTl^ i i. R ZUm 2wBeke vortaufigen 
<en Verd^ung vortk*. W.a^n ^^7^ Sn^t^^T ^ Lmati ° n - 

Welcho Telle der Intemationalen Anmeldung k&nnan g.Jndert warden? 

Im Rahmen von Artikel 19 kdnnen nurdie Anaprtiche geandert warden. 

vort^en Pn>,un B beau,- 

vor der mi der int«ndiond«, vortaufigen Prufung b^J^en ^o^andXe^„ e ^ Un9en Art * 8 ' 34 

PhMe ^ aB ° T * ^ *™ *-e«ung neoh Artikel 28 oder gegebenenlall. Artike. 

Bl» wann slnd Anderungen einxumtchen? 

Wo slnd die Anderungen nlcht elnzureichen? 

,ntam<,a0n ^ ^ — ^ internal RecHer^enoehorde 

Fa* ein Antra, auf intomafionale vortaufig. PrOlung oinger-cht wurd*wird, aiehe unten. 
In weicher Form konnen Anderungen ertolgen? 

n E ^^:tta 

0^^.^ At^^?^ numeneren. Wird .in An.pr.ch ge. t ricnen, ao 

numeneren (V«waltung.riohUinien. Abwhnitt 2uSb)T Naunuma ™ nJn 0 «i"d<Se An^rflch. terttautend" 

Die Anderungen >lnd In der Sprache abzufaaaen, In der dletnlemadonale Anmeldung veroffentllcht wild. 

Welch. Untertagen alnd den Anderungen bebuttgen? 
Beglettachnlban (AbechnJtt 205 b)): 
Di. Anderungen aind mil einem Begteteehreiben einzureiehen. 

nationals Anmeldungen In tanzl,I^Vp^e *a^"^"* ,enfa,,S ln ""a"**"", be. franrtalach^rachlgert InteT 
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ANMERKUNGEN ZU FORMBLATT PCT/ISA/220 (Fortsetzung) 



verschiedenen AnaprOchen kfinnen ^am^Srw^*o^^ Anmeldung anzugeben (gleichlautende Angaben zu 
der Anspruch unverandert «t; 



Q 
ii) 

■10 

fv) 



der Anspruch gestrichen wordon »t; 
der Anspruch neu at; 

dor Ar»pruch einen odor mehrere AnaprOohe in der eingereichten Faaaung emetzt 

der A~prucn aurdl. Te«ung -p.. Anapni*. in dereing-eiohten FaMun 0 lurtletautthren |„. 



lm folg^en alnd B1,p tete ^g-g^n, i. fad«n^ Im BegWU*,^ xu .neuter* , (nd . 

30, 33 und 36 ur^randert; neu. An U^ll hir^l^- and8 ' ta « ,8ichor Num.ri.mng eraetzt; AnsprOche 

Ansprtcha 1-10 unvardndert; Amprflche 1 1 to 13 18 u^1Q ^.a. „ 
"Erfcttrung nach Artikal 19(1)- (Regal 46.4) 

£ ^rz^z^iTj?^^ Anmo,4inB ^ ^ ***** 

WoT 'uSJ " lt8n ■* S ^^,odeHn. E ng, i8 ^abo re e M .„ich« n ,, hr< ,, 5 00 
Auswlricungen sines bereft* gesteilten Antraga auf IntematlonalevorlSuflge Prtifung 



g~«.«.^, MBO m.der A^Jl^TnToCT Wrung 



Regel62.2a),er*terSatz). 



SSSftCT " Anden,n9 ' n h '"- eh,,te - dW °«>~« «■ ^«~^«, AnmeWung be(m Bntm |n d|e 

beabmmten/auagewahllen Amter zu Qbermitteln iat CUng °" naeh Artlke ' 1 9 fl«anderten Anapruche an die 

KT" *~ * Effe ^- -i-ten/ausg, wah »en Amis « Band II de. PCT^adens » Anmrfder 
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□ 
□ 
□ 
□ 



□ 

□ 
□ 
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6. Folgende Abbildung der Zeichnungen 1st mit der Zusammenfassung zu veroffentlichen: Abb. Nr. 

PI wie vom Anmelder vorgeschlagen ryj 
□ well der Anmelder selbst keine Abbildung vorgeschlagen hat. 
Q well dlese Abbildung die Erflndung besser kennzelchnet 
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f|| f 54 ) Title: CIRCUIT FOR CARRYING OUT SECURED DATA TRANSMISSION, ESPECIALLY IN RING BUS SYSTEMS 

3 r^gfSmTgf?; buss^tSS^ 080 ™ 0 ZUR GESICHERTEN datenubertragung, INSBESONDERE in 

(57) Abstract The invention relates to a circuit which enables data required for constructing failure tolerant structures to be trans- 
ff) mtted on m S standard bus systems. To mis end, a monitoring unit is required as well as decentralized input and output units which 
«^ transmit or receive data used for regulating or controlling. The inventive circuit takes over the task of identifying possible faults 

wWch can jeopardize the process within a machine or system. Due to the internal structure, the circuit identifies a possible fault even 
V© ^orefoefauhwimregardtomeiHxx^isd^ 

ff) external control or the utilized bus system is responsible for creating the fault 
V© 

t^- < 57 > Zosammenlassung: Die vodiegende Schaltungsanordnung edaubt es, an ringformigen Standardbussystemen Daten zu flber- 
^ tragen, die fiir den Aufbau fehlertoleranter Strukturen notwendig sind. Zur Realisierung benatigt man eine Uberwachungseinheit 
O md dezentrale Ein- und Ausgabeeinheiten, die Daten zur Regelung oder Steuerung senden oder entgegennehmen. Die Schaltungs- 

Oanordnung Qbernimmt die Aufgabe, eventueUe Fehler zu erkennen, die fur den Prozess innerhalb einer Maschine oder Anlage zur 
- r* ihr werden US™*- Durch den internen Aufbau identifiziert die Schaltungsanordnung bereits vor der Fehkroffenbarung zum 
^ rtozess einen eventuellen Fehler und leitet eine gesicherte Abschaltung ein. DabdistesgldchguMg.obdteextenieSteuerunfioda- 
^ flas verwendete Bussystem fur den Fehler verantwortlich ist 
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B. RECHERCHIERTE GEBIETE 



Recherchierter Mindestprufstoff (Klassifikationssystem und Klassifikationssymbole ) 

IPK 7 G05B 



Recherchierte aber nlcht zum Mindestprufstoff gehdrende Veroffentiichungen, soweit diese unler die recherchierten Gebiete fallen 



Wahrend der intemationalen Recherche konsurtierte etektronische Datenbank (Name der Datenbank und evtl. verwendete Suchbegriffe) 

EPO-Internal, WPI Data, PAJ 
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Kategorie 0 
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Betr. Anspruch Nr. 



US 5 115 177 A (TANAKA KUNIO ET AL) 

19. Mai 1992 (1992-05-19) 

Spalte 2, Zeile 46 -Spalte 3, Zelle 20 



US 5 274 546 A (KIN0SHITA JIR0) 
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Spalte 1, Zelle 66 -Spalte 2, Zelle 58 
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Weitere Verdffentlichungen sind der Fortsetzung von Fetd C zu 
entnehmen 



Siehe Anhang Patentfamilie 



° Besondere Kategorien von angegebenen VeroHentlichungen : 

A' VerSffentBchung, die den allgemeinen Stand der Technik definrert, 
aber nicht ate besondere bedeutsam anzusehen ist 

alteres Dokument das jedoch erst am Oder nach dem intemationalen 
Anmeldedatum veroffentlicht worden 1st 

L" Veroffentlichung, die geeignet ist, einen Priontatsanspruch zweifethafl er- 
scheinen zu lassen, Oder durch die das Verdffentlichungsdatum etner 
andeien rm Recherchenbericht genannten Veroffentlichung belegt werden 
soil Oder die aus einem anderen besonderen Grund angegeben ist (wie 
ausgefOhrt) 

O* Veroffentlichung, die sich auf eine mundBche Offenbarung, 

eine Benutzung, eine Ausstellung Oder andere MaBnahmen bezieht 
P* Veroffentlichung, die vor dem intemationalen Anmeldedatum, aber nach 
dem beanspruchten Priorttatsdatum veroffentficht worden ist 



V Sp&tere Verdffentlichung, die nach dem intemationalen Anmeldedatum 
ooer dem Priorttatsdatum veroffentlicht worden ist und mft der 
Anmeldung nicht kollidfert, sondem nur zum Verstandnis des der 
Etfindung zugrundeljegenden Prinzips oder der ihr zugrundefiegenden 
Theorie angegeben ist 

•X' Verdffentnchung von besonderer Bedeutung; die beanspruchte Ertfndung 
kann aflein aufgrund dieser Veroffentlichung nicht ate neu oder auf 1 
erfinderischer Tatfgkeit beruhend betrachtet werden 

"Y" Veroffentfichung von besonderer Bedeutung; die beanspruchte Erflndung 
kann nicht ats auf erfinderischer Tatigkett beruhend betrachtet ! 
werden, wenn die Veroffentfichung mil elner oder mehreren anderen 
Veroffentiichungen dieser Kategorie in Verbindung gebracht wird und 
diese Verbindung fOr einen Fachmann naheliegend tet 
Veroffentlichung, die MitgBed derselben PatentfamiDe tet 
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VERTRAG UBL JIE INTERNATIONALE ZUSAMI 

AUF u£M GEBIET DES PATENTWESENo 

PCT 

INTERNATIONALER RECHERCHENBERICHT 

(Artikel 18 sowie Regeln 43 und 44 PCT) 



iARBEIT 



Aktenzeichen des Anmelders Oder Anwalts 


WEITERES siehe Mitteilung uber die Ubermittlung des internationalen 
w^«~-. ..... Recherchenberichts (Formblatt PCT/ISA/220) sowie, soweit 

VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 
PCT/DE 00/01796 


Internationales Anmeldedatum 
(Tag/Monat/Jahr) 

05/06/2000 


(Fruhestes) Prioritatsdatum (Tag/Monat/Jahr) 

04/06/1999 


Anmelder ■ 

PHOENIX CONTACT GMBH & CO. et al . 



Dieser international Recherchenbericht wurde von der Internationalen Recherchenbehorde erstellt und wird dem Anmelder qemaB 
Artikel 1 8 ubermittelt. Eine Kopie wird dem Internationalen Buro ubermittelt. 

Dieser internationaJe Recherchenbericht umfaBt insgesamt _2 Blatter. 

PH Daruber hinaus liegt ihm jeweils eine Kopie der in diesem Bericht genannten Unteriagen zum Stand der Technik bei. 



b. 



Grundtage des Bench ts 

a. Hinsichtlich der Sprache ist die internationaJe Recherche auf der Grundiage der internationalen Anmeldung in der Sprache 
durchgefuhrt worden, in der sie eingereicht wurde, sofern unter diesem Punkt nichts anderes angegeben ist. 

Die Internationale Recherche Ist auf der Grundiage einer bei der Behorde eingereichten Ubersetzung der internationalen 
Anmeidung (Regel 23.1 b)) durchgefuhrt worden. 

Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotid- und/oder Aminosauresequenz ist die internationale 
Recherche auf der Grundiage des Sequenzprotokoils durchgefuhrt worden, das 
I I in der internationalen Anmeldung in Schriflicher Form enthalten ist. 

I I zusammen mit der Internationalen Anmeldung In computerlesbarer Form eingereicht worden ist. 
[~| der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 
I I bei der BehOrde nachtraglich In computerlesbarer Form eingereicht worden ist. 

□ Die Erklarung, daG das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht Qber den Offenbarungsgehalt der 
internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

Q Die Erklarung, daG die in computerlesbarer Form erfaBten Informationen dem schriftlichen Sequenzprotokoll entsorechen 
wurde vorgelegt. 

I I Bestimmte Anspruche haben sich als nicht recherchierbar erwiesen (siehe Feld I). 
D Mangelnde Einheitlichkeit der Erfindung (siehe Feld II). 



4. Hinsichtlich der Bezeichnung der Erfindung 

PH wird der vom Anmelder eingereichte Wortlaut genehmigt. 
I | wurde der Wortlaut von der Behflrde wie folgt festgesetzt: 



5. Hinsichtlich der Zusammenfassung 

lYl w,rd fe* vom Anmelder eingereichte Wortlaut genehmigt. 

□ wurde der Wortlaut nach Regel 38.2b) In der in Feld III angegebenen Fassung von der Behorde festgesetzt. Der 
Anmelder kann der BehOrde Innerhalb elnes Monats nach dem Datum der Absendung dieses Internationalen 
Recherchenberichts eine Stellungnahme voriegen. 

6. Folgende Abblldung der Zeichnungen ist mit der Zusammenfassung zu verOffentlichen: Abb. Nr. 

l~l wie vom Anmelder vorgeschlagen [X] keine der Abb. 

I I weil der Anmelder selbst keine Abblldung vorgeschlagen hat. 
|~| weil diese Abblldung die Erfindung besser kennzeichnet. 
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This international preliminary examination report has been prepared by this International Preliminary Examining Authority 
and is transmitted to the applicant according to Article 36. 



This REPORT consists of a total of . 



16 sheets, including this cover sheet. 



This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have been 
amended and are the basis for this report and/or sheets containing rectifications made before this Authority (see Rule 
70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of. 



20 



sheets. 
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Basis of the report 
Priority 
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II 
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IV 
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VI 
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Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 

Certain defects in the international application 

Certain observations on the international application 



Date of submission of the demand 

03 January 2001 (03.01.01) 


Date of completion of this report 

20 September 2001 (20.09.2001) 


Name and mailing address of the IPEA/EP 
Facsimile No. 


Authorized officer 
Telephone No. 



Form PCT/IPE A/409 (cover sheet) (July 1998) 



I International application No. 
PCT/DE00/01796 



I. Basis of the report 



1. With regard to the elements of the international application:* 
[ " | the international application as originally filed 
the description: 

P a S es , as originally filed 

pages 9 filed with the demand 

pages US) , filed with the letter of 07 September 2001 (07.09.2001) 



the claims: 

pages , as originally filed 

pages __ , as amended (together with any statement under Article 1 9 

pages , filed with the demand 

Pages 1-24 _ ? fiied with ^ letter of 07 September 2001 (07.09.2001) 



the drawings: j 

pages , as originally filed 

pages , filed with the demand 

pages 1/2,2/2 , filed with the letter of 07 September 2001 (07.09.2001) 



| | the sequence listing part of the description: 

P a S es __ , as originally filed 

P a £ es , filed with the demand 

P a S es , filed with the letter of 



2. With regard to the language, all the elements marked above were available or furnished to this Authority in the language in which 
the international application was filed, unless otherwise indicated under this item. 

These elements were available or furnished to this Authority in the following language which is* 

□ the language of a translation furnished for the purposes of international search (under Rule 23 . 1 (b)). 

□ 

the language of publication of the international application (under Rule 48.3(b)). 

Q the language of the translation furnished for the purposes of international preliminary examination (under Rule 55.2 and/ 
or 55.3). 

3. With regard to any nucleotide and/or amino acid sequence disclosed in the international application, the international 
preliminary examination was carried out on the basis of the sequence listing: 

O contained in the international application in written form. 

filed together with the international application in computer readable form. 

□ 

furnished subsequently to this Authority in written form. 

□ furnished subsequently to this Authority in computer readable form. 

The statement that the subsequently furnished written sequence listing does not go beyond the disclosure in the 
_ international application as filed has been furnished. 

O The statement that the information recorded in computer readable form is identical to the written sequence listing has 
been furnished. 

4 - EZJ Tne amendments have resulted in the cancellation of: 

~\ the description, pages 

I the claims, Nos. 

__] the drawings, sheets/fig 

5 ["I ™ S report been established as if (some of) the amendments had not been made, since they have been considered to go 
— beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)),** 

* Replacement sheets which have been furnished to the receiving Office in response to an invitation under Article 14 are referred to 
in this report as "originally filed" and are not annexed to this report since they do not contain amendments (Rule 70.16 
and 70.17). 

**Any replacement sheet containing such amendments must be referred to under item 1 and annexed to this report. 
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International application No. 
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II. Priority 



I I This report has been established as if no priority had been claimed due to the failure to furnish within the prescribed time 
I — I limit the requested: 

I I copy of the earlier application whose priority has been claimed. 

I I translation of the earlier application whose priority has been claimed. 

2 Tnis re PO rt nas Deen established as if no priority had been claimed due to the fact that the priority claim has been found invalid 

Thus for the purposes of this report, the international filing date indicated above is considered to be the relevant date. 

3. Additional observations, if necessary: 
SEE SEPARATE SHEET 
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Supplemental Box 

(To be use d when the space in any of the preceding boxes is not sufficient) ■ 

Continuation of: 1 1 

The present international application PCT/DE 00/1796 claims 
the priority of DE 199 24 693.4 of 04.06.1999. That 
document was available to the examiner , and it is clear 
that the other cited document DE-A1-198 57 683 of 
14.12.1998 partly invalidates the priority of the present 
application. 

The reasons are as follows: 

Normally, the filing date of the "first application" must 
be claimed as a priority , that is, the filing date of the 
application disclosing for the first time any or all of the 
subject matter of the international application. 

If it is found that the application to which the priority 
claim is directed is in fact not the first application in 
the above sense, but that some or all of the subject matter 
was disclosed in a still earlier application originating 
from the same inventor, the priority claim is invalid as 
far as the subject matter was already disclosed in the 
still earlier application. 

In the present case, DE-A1-198 57 683 and the present 
international application PCT/DE 00/1796 are from the same 
applicant or inventor (Dr. Peter Wratil). Fundamental 
passages of the present application PCT/DE 00/1796 are 
already contained in DE-Al-198 57 683. Consequently, the 
priority document DE 199 25 693.4 of 04.06.1999 cannot be 
regarded as the first application, and the priority of the 
priority document DE 199 25 693.4 of 04.06.1999 is valid 
only for those features that were not previously disclosed 
. by DE-A1-198 57 683. 



.../... 
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Supplemental Box 

(To be used when the space in any of the preceding boxes is not sufficient) 



Continuation of: 1 1 



This statement is based on PCT Article 2(xi), PCT Article 
8, PCT Rule 64.1(b) and PCT Preliminary Examination 
Guidelines, Chapter III, paragraphs V-1.2 to V-1.4, V-2.2). 

The objection to invalid priority is raised primarily in 
regard to the present independent Claim 19. The subject 
matter of Claim 19 is already disclosed by the document DE- 
Al-198 57 683 (cf. column 2, line 9, to column 3, line 13; 
figure). Consequently, Claim 19 cannot claim the priority 
of the priority document DE 199 25 693.4 of 04.06.1999. 
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V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



I. Statement 

Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1 - 18, 20 - 24 



19 



1 - 18, 22 - 24 



19 - 21 



24 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 
1). 



The international application PCT/DE 00/01796 is 
directed, according to the title, to a circuit for 
carrying out secured data transmission in a ring bus 
system. The present Claim 1 claims a system for 
secured data transmission in ring bus systems, the 
present independent Claim 19 claims a system for 
secured data transmission, and the present 
independent Claim 22 claims a peripheral security- 
relevant unit in a system for secured data 
transmission in ring bus systems. 



2) . This international preliminary examination report 

makes reference to the following documents cited in 
the international search report: 

Dl: US-A-5 115 177 (TANAKA KUNIO ET AL) 19 May 1992 
D2: US-A-5 274 546 (KINOSHITA JIRO) 28 December 1993 

3) . in addition to the lack of clarity defects mentioned 

in Box VIII of this international preliminary 
examination report, the subject matter of Claim 19 
lacks novelty within the meaning of PCT Article 33(1) 
and (2). 

• • • / • • • 
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(Continuation of V.2) 

4) . Document Dl discloses, in conformity with all the 

features of the present independent Claim 19 , 
a system for secured data transmission (see Figure 1; 
column 2, lines 18-27; column 1, lines 5-10 and 
52 - 66), 

more particularly in ring bus systems, 

wherein a peripheral monitoring unit (Figure 1, "2 - 
programmable controller (PC)") checks the data output 
by a control unit (Figure 1, "1 - numerical control 
system (CNC)") (Figure 1, "signals F"; column 2, 
lines 46-49) and detects malfunctions (see column 
2, lines 46-56) and, 

if a malfunction occurs (column 2 , lines 60 ff.), 
suppresses or deletes (column 2, lines 60-68; 
column 3, lines 29-31 and lines 39 and 40) 
enabling data (Figure 1, "signals Y") for a 
peripheral security-relevant unit (Figure 1, "3 - 
machine tool") to prevent a malfunction from 
entering the control process, 

more particularly in data transmission procedures , 
(column 3, lines 1 - 20). 

Consequently, the subject matter of Claim 19 is not 
novel and therefore does not comply with the 
requirements of PCT Article 33(1) and (2). 

5) . Even if the applicant were to argue that the subject 

matter of the application is novel - by virtue of 
features that distinguish it only slightly from the 
prior art - the subject matter of the application 
could at least not be regarded as inventive, in view 
of the comprehensive disclosure of the citation Dl 
which is in the same technical field and which 

• • • / • • • 
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proposes a solution based on the same principle (PCT 
Article 33(1) in conjunction with PCT Article 33(3)). 

6). Furthermore , the subject matter of Claim 19 is not 
inventive in the light of document D2. 

D2 discloses a system for secured data transmission 
(Figure 1) wherein a monitoring unit (Figure 1, "2 - 
programmable machine controller (PMC) 23") checks the 
data output by a control unit (Figure 1, "CPU 11 or 
DIAGNOSTIC CPU 1") via the bus (Claim 3) and detects 
malfunctions (see column 2, lines 41 - 53) and, 
if a malfunction occurs (column 2, lines 53 ff.)f 
suppresses or deletes enabling data for a peripheral 
security-relevant unit (Figure 1, "machine tool 26") 
to prevent a malfunction from entering the control 
process. 

D2 does not explicitly disclose that the enabling 
data are suppressed or deleted, but this is self- 
evident to a person skilled in the art, because 
documents Dl and D2 originate from the same applicant 
and the disclosure of Dl is earlier than that of D2, 
However, Dl undoubtedly contains the feature of the 
suppression or deletion of enabling data. 

Consequently, the subject matter of Claim 19 does not 
involve an inventive step in the light of D2 in 
conjunction with document Dl (PCT Article 33(1) and 
(3)). 



• mm/ m m m 
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(Continuation of V.2) 

7). The additional technical features of dependent Claims 
20 and 21 do not, either alone or in combination, add 
anything inventive to the technical features of 
independent Claim 19. 

The additional features of the dependent claims are 
either disclosed by documents Dl or D2, or define 
simple conventional measures in the field of data 
transmission which fall within the routine work of a 
person skilled in the art, or are merely useful 
structural measures without any intrinsic inventive 
value. 



Consequently, dependent Claims 20 and 21 do not 
comply with the requirements of PCT Article 33(3) for 
lack of inventive step. 

8) . The prior art and its drawbacks are discussed in the 

description by the applicant (see, in particular, 
page 1, line 12, to page 2, line 26). 

9) . The problem to be solved by the invention (cf. page 

2, line 28, to page 3, line 2) is primarily to detect 
malfunctions in a (control) process which is composed 
only of standard units. 

10) . The problem addressed by the invention is solved as a 

result of the advantageous co-operation of the 
technical features defined in the present Claim 1 . 
The system of Claim 1 is illustrated in Figure 1. 

Claim 1 reads: 

System for secured data transmission in ring bus 
systems, comprising 



• • • / . . . 
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- a control unit ( 1 ) , 

which transmits output data and control signals for 
a control process to peripheral units (4, 7 , 8, 9, 
12), 

- a peripheral monitoring unit (4) which comprises 

a first transfer unit (5) for monitoring the 
transmitted data and 

a second transfer unit (6) for monitoring data 
to be read back into the control unit ( 1 ) , and 



- at least one security-relevant unit (9) 

for receiving or transmitting security-relevant 
data, 

wherein data for output are buf fered, 
which comprises 

a control logic circuit (11) for monitoring the 
buffered data and 

an output unit (10) for outputting the buffered 
data, 

the buffered data being monitored by the control 
logic circuit (11) in such a way that, if a 
malfunction occurs, a more secure state of the 
output unit (10) is introduced for the control 
process, 

in which system 

the first transfer unit (5) monitors the data output 
by the control unit (1) in such a way that, if a 
malfunction occurs, enabling data (9) for the 
peripheral security-relevant unit are suppressed or 
deleted to prevent defective data from entering the 
control process, 



• • • / • • • 
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more particularly data transmission procedures , 

and the second transfer unit (6) reads back the input 
data of the peripheral security-relevant unit (9) and 
its buffered data. 



11). The problem addressed by the invention is also solved 
by virtue of the advantageous co-operation of the 
technical features defined in independent Claim 22 . 
The peripheral security-relevant unit of Claim 22 is 
illustrated in Figure 2. 

Claim 22 reads: 

Peripheral security-relevant unit in a system for 
secured data transmission in ring bus systems, 
comprising 

- a two bus units (22, 23) 

for transmitting the data to be output by one bus 
unit (22) to the input part of the other bus unit 
(23) to allow data to be retrieved from the control 
process via redundant input channels (24, 25) and 
to make the data to be output by a peripheral 
monitoring unit (4) available for read back, 

- a buffer (27) 

in which the data to be output are stored before 
release, 

- an output logic (28) 

by means of which the buffered data are output, and 



• • . / . • . 
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- a control logic circuit (11) 

which decides whether the data stored in the buffer 

(27) are transmitted via the output logic circuit 

(28) . 

12) . The arrangements defined in Claims 1 and 22 produce 

advantageous effects, in particular a protective 
effect against malfunction, as explained on page 8 
(lines 14-26) and -page 9 (lines 5 - 10) of the 
description. 

13) . No single international search report document 

discloses all the technical features of Claims 1 
or 22. Consequently, the subjects of Claims 1 and 22 
meet the criterion of novelty (PCT Article 33(1) 
and (2) ) . 

The documents cited in the international search 
report do not suggest the subjects of Claims 1 or 22 
either. Consequently, the claimed subjects comply 
with the requirements with regard to inventive step 
(PCT Article 33(1) and (3)). 

The subjects of Claims 1 and 22 are industrially 
applicable, as shown on page 2. Consequently, the 
requirements of PCT Article 33(1) and (4) with regard 
to industrial applicability are satisfied. 

14) . Dependent Claims 2 to 18 and Claims 23 and 24 define 

special configurations of the system according to 
Claim 1 and special embodiments of the peripheral 
security-relevant unit according to independent Claim 
22, respectively, which likewise meet the 
requirements with regard to novelty, inventive step 
and industrial applicability (PCT Article 33(2) 
to (4)). 



FormPCT/IPEA/409 (Box V) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



PCT/DE 00/01796 



VIL Certain defects in the international application 

The following defects in the form or contents of the international application have been noted: 

1) . Pursuant to PCT Rule 6.3(b), independent Claims 1, 19 

and 22 should be drafted in two-part form, with the 
technical features which, in combination, are known 
from the prior art (see Dl re Claim 19; DE-A1-198 57 
683 of 14. 12. 1998 re Claims 1 and 22) being included 
in the preamble. 

2 ) . The description does not cite documents bl and D2 or 

briefly outline the relevant prior art contained 
therein. The requirements of PCT Rule 5.1(a) (ii) are 
therefore not satisfied. 

3) . The description has not been brought into line with 

the present claims; that is to say, the description 
does not describe the invention in the terms in which 
it is characterized in the claims. The requirements 
of PCT Rule 5.1(a) (iii) are therefore not satisfied. 

4) . Contrary to PCT Rule 10.2, the description does not 

use terminology and signs consistently. The 
description uses the reference sign "11" to denote 
both a control unit (page 6, line 5) and a control 
logic circuit (page 7, line 12; page 8, line 5). The 
use of different terminology for apparently one and 
the same object does not comply with the requirements 
of PCT Rule 10.2. 

5) . The description, page 8, lines 3 and 6 should refer 

to the buffer 27, which has also been denoted in this 
way in Figure 2. 



• • • / ... 
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(Continuation of VII) 

6) . The description, page 3, lines 6 to 8, contains the 

expression "whose contents are made co-extensive with 
the subject matter of the present claim". The 
applicant thereby seeks to incorporate some or all of 
a document in the description. However, this results 
in a lack of clarity, because it is vague and 
uncertain what features are referred to. 
Furthermore, this type of reference contravenes the 
basic requirement that every application must meet, 
namely that the invention must be intelligible from 
the description alone. To overcome this lack of 
clarity, either the above-mentioned sentence should 
simply be deleted or the cited relevant prior art 
should be discussed in a brief summary in accordance 
with PCT Rule 5.1(a) (ii) (see also PCT Preliminary 
Examination Guidelines, Chapter II, paragraph 4.17). 

7) . The description does not indubitably support Claim 

22, which relates to a peripheral security-relevant 
unit. 

The description explains that Figure 2 shows the 
internal structure of the peripheral security- 
relevant unit of the system (cf. page 3, lines 25 to 
27; page 7, lines 22 and 23). Consequently, all the 
components illustrated in Figure 2 form the 
peripheral security-relevant unit. 

Contrary to this above-mentioned statement, Figures 1 
and 2 show a peripheral security-relevant unit 9 
which consists of only two bus units 22 and 23. So 
too does the description, page 7, lines 25 to 30. 



* . . / ... 
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(Continuation of VI I) 

Independent Claim 22 claims a peripheral security- 
relevant unit. According to Claim 22, this consists 
of the following components: 

- two bus units (22, 23), 

- a buffer (27), 

- an output logic circuit (28), and 

- a control logic circuit (11). 

However, according to Figures 1 and 2 and the 
description, page 7 (lines 25 to 30), the components 
"buffer (27), output logic circuit (28) and control 
logic circuit (11)" are not components of a 
peripheral security-relevant unit (9). Consequently, 
the description does not indubitably support Claim 22 
(PCT Article 6) . 

8 ) . ( German text only ) : 

In Claim 19, "Datemibertragunsablaufe" should read 
"Datemibertragungsablauf e" . 

In Claim 23, "zwischnegespeicherten Daten" should 
read "zwischengespeicherten Daten". 
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VIII. Certain observations on the international application 

The following observations on the clarity of the claims, description, and drawings or on the question whether the claims are fully 
supported by the description, are made: 

1. The following claims are unclear and therefore do not 
! comply with the requirements of PCT Article 6. 

la. The expression "..., more particularly . is used 
repeatedly in the claims. According to PCT 
Preliminary Examination Guidelines (PCT Gazette, 
Section IV, Chapter III, paragraph 4.6), such 
definitions should be looked at carefully to ensure 
that they do not introduce ambiguity. Furthermore, 
the technical features following the expression "more 
particularly" should be regarded as entirely optional 
as regards the scope of a claim; that is to say, these 
features have no limiting effect on the scope of a 
claim. 

Consequently, the features following the expression 
"more particularly" have been disregarded in the 
analysis of the claims. 

lb. Claim 1 is unclear (PCT Article 6), because it is not 
clear what is meant by "a more reliable state of the 
output unit (10)" "if a malfunction is detected" and 
when this "more reliable state of the output unit (10) 
for the control process is introduced". 

1c. Dependent Claim 4 is unclear (PCT Article 6) as 

regards the definition "is provided with a buffer 
which is read back by a bus unit (23)". It is 
incomprehensible what exactly is meant by the verb 
"read back". Dependent Claim 4 further refers to "the 
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(Continuation of VIII) 

output logic circuit (28) with the output signal (29) 
from the peripheral monitoring unit (4)". 



Neither the output logic circuit (28) nor the output 
signal (29) have been previously defined in such a way 
that reference could be made thereto with the definite 
article in Claim 4. 

Furthermore, 29 is the output of the output logic 
circuit 28 (cf . page 8, second paragraph) and not "the 
output signal (29) of the peripheral monitoring unit 
(4)". 

Id. The newly incorporated dependent Claim 9 relates to 

"data of the SPS ". An SPS is not mentioned in any of 
the previous Claims 1 to 8 or previously defined in 
the text of Claim 9. It is therefore unclear how the 
SPS is incorporated in the system. Consequently , 
Claim 9 does not comply with the requirements of PCT 
Article 6. Presumably, the SPS in Claim 9 is the 
control unit ( 1 ) . 

le. Dependent Claims 15 and 16 are unclear (PCT 
Article 6) . 

The subjects of Claims 15 and 16 claim as negative 
features 

"which can function with standard components for bus 
traffic that are not security-relevant and which does 
not require any kind of security-relevant special 
components" and "the function is capable of operating 
in standard bus systems and is capable of functioning 

• • • / • • • 
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(Continuation of VIII) 



without additional bus systems or special components 
being installed" . These negative features attempt to 
define what is not claimed. In regard to the negative 
features, the formulation of what is not claimed is 
equivalent to a so-called disclaimer [exclusion from 
the claims] (cf. PCT Preliminary Examination 
Guidelines, Chapter III, paragraph 4.12 and Box V, 
item 2.2), which should normally be avoided. Apart 
from the fact that, according to PCT Article 6, the 
claim should define the matter for which protection is 
sought and not that for which no protection is sought 
(disclaimer), the above-mentioned negative feature 
definition is also unclear (PCT Article 6). 

It is not unambiguously clear in Claim 15 what is 
claimed by "standard components for bus traffic that 
are not security-relevant". 

In Claim 16 it is not clear what is meant by " the 
function", especially since a function was not defined 
anywhere in the claims. Furthermore, "the 'function of 
standard bus systems" is not an additional feature of 
a claimed system within the meaning of PCT Rule 6.4. 

If. In dependent Claim 17 it is not clear what is meant by 
"the function", especially since a function was not » 
claimed anywhere in the claims. Furthermore, "the 
function of standard bus systems" is not an additional 
feature of a claimed circuit within the meaning of PCT 
Rule 6.4. 



• • • / ... 
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~ ~ (Continuation of VIII) 

Nowhere have the claims defined so-called " normal 
decentralized units" in a way that could be 
interpreted to mean the replacement referred to in 
Claim 17. 

lg. The "security function" mentioned in dependent Claim 
18 is not based on a previous definition in another 
claim. It is therefore incomprehensible in 
conjunction with the definite article and consequently 
makes Claim 18 unclear. 

2. independent Claim 19 is unclear (PCT Article 6). 

2a. Claim 19 does, not comply with the requirements of PCT 
Article 6, because the subject matter for which 
protection is sought is not clearly defined. This 
claim attempts to define its subject matter in terms 
of the result to be achieved ( " . . . so that a 
malfunction cannot enter the process ..."), and in 
doing so merely states the problem addressed. To 
eliminate this defect , it seems essential that the 
technical features which are necessary for achieving 
this result be incorporated into the claim. 

2b. The subject matter to be protected in Claim 19 is 

directed to a system. However , the components of the 
system are not defined, and it is unclear whether or 
not the peripheral monitoring unit (4), the control 
unit (1) and the peripheral security-relevant unit (9) 
I are sub-assemblies of the system. The adjective 

"peripheral" creates the impression that at least the 
monitoring unit (4) and the security-relevant unit (9) 
are located outside the system. 

• • • / ... 
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2c. Claim 19 refers to " the control process" (cf . page 15, 
line 24). Claim 19 does not mention a control 
process, nor can it be gathered from the wording of 
the claim what could be meant by "the control 
process" . 

2d. It is clear from the description (page 7, lines 3 and 
4; page 3, lines 10 ff.; see also the title according 
to the application form) that the following features 
are necessary for the definition of the invention: 

- the circuit is used in bus systems; 

- the bus systems are of the ring type. 

Since Claim 19 is not restricted to either bus systems 
or ring bus systems , it does not comply with the 
requirement of PCT Article 6 in conjunction with PCT 
Rule 6.3(b) that each independent claim must contain 
all the technical features that are necessary for the 
definition of the invention. 

3. Dependent Claim 20 defines a "system according to 
Claim 19 in which buffered data of the peripheral 
security-relevant unit (9) are read via a bus unit and 
monitored and detected by means of a control logic 
circuit (11)". 

In the first place, it is unclear what is meant by 
"which" and secondly, the detection of buffered data 
is not specified anywhere in the description. Claim 
20 is therefore unclear (PCT Article 6). Thirdly, it 
is unclear which buffered data are read (where do the 
data come from and what do they contain?). 

•••/.. • 
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4. Dependent Claim 21 is unclear (PCT Article 6), because 
it is unclear what is meant by the relative pronoun 
"wherein" (page 16 , line 2). Furthermore the wording 
of the claim is unclear as regards the term "more 
reliable state of the data transmission". It is 
absolutely incomprehensible what technical feature is 
to be specifically placed under protection by this 
term. In addition, Claim 21 defines a process step 
rather than a device feature necessary for Claim 21. 
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Aktenzeichen des Anmelders Oder Anwalts 
OOPH 0238WOP 


siehe Mitteilung uber die Obersendung des internationalen 
WEITERES VORGEHEN vonaufigen Prufungsberichts (Fqrmbiatt PCT/IPEA/416) 


Internationales Aktenzeichen 


Internationales Anmeldedatum (Tap/MonaKya/ir; 


Prioritatsdatum (T ag/Monat/T ag) 
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1 . Dieser Internationale vorlaufige Prufungsbericht wurde von der mit der internationalen vorlaufigen Prufung beauftragten 
Behorde erstellt und wird dem Anmelder gemaB Artikel 36 ubermittelt. 

.2. Dieser BERICHT umfaBt insgesamt 16 Blotter einschlieBlich dieses Deckblatts. 

S AuBerdem liegen dem Bericht ANLAGEN bei; dabei handelt es sich um Blatter mit Beschreibungen, Anspruchen 
und/oder Zeichnungen, die geandert wurden und diesem Bericht zugrunde liegen, und/oder Blatter mit vor dieser 
Beh6rde vorgenommenen Berichtigungen (siehe Regel 70.16 und Abschnitt 607 der Verwaltungsrichtlinien zum PCT). 

Diese Anlagen umfassen insgesamt 20 Blatter. 



3. Dieser Bericht enthalt Angaben zu folgenden Punkten: 



Grundlage des Berichts 
Prioritat 



Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderischen Tatigkeit und der 
gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 

Bestimmte angefuhrte Unterlagen 

Bestimmte Mangel der internationalen Anmeldung 

Bestimmte Bemerkungen zur internationalen Anmeldung 



II 




HI 


□ 


IV 


□ 


V 


IS 


,vi 


□ 


VII 




VIII 





Datum der Einreichung des Antrags 
03/01/2001 


Datum der Fertigstellung dieses Berichts 
20.09.2001 


Name und Postanschrift der mit der internationalen vortaufigen 
PrQfung beauftragten Behorde: 

■■^ Europaisches Patentamt 
AM D-80298 MQnchen 
&f 9 Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax:+49 89 2399-4465 


BevollmSchtigter Bediensteter -,. /fi*^*^^ 
Keller, M ({ M ]j 

Tel. Nr. +49 89 2399 8807 ^^o^ 



INTERNATIONALER VORLAUFIGER 

PRUFUNGSBERICHT . Internationales Aktenzeichen PCT/DE00/01 796 



I. Grundlage des Berichts 

1 . Hinsichtlich der Bestandteile der internationalen Anmeldung (Ersatzblatter, die dem Anmeldeamt aufeine 
Aufforderung nach Artikel 14 hin vorgelegt wurden, gelten im Rahmen dieses Berichts als "ursprunglich 
eingereicht" und sind ihm nicht beigefugt, weil sie keine Anderungen enthalten (Regeln 70. 16 und 70. 1 7))\ 
Beschreibung, Seiten: 

1-9 mit Telefax vom 07/09/2001 

Patentanspruche, Nr.: 

1-24 mit Telefax vom 07/09/2001 

Zeichnungen, Blatter: 

1/2,2/2 mit Telefax vom 07/09/2001 



2. Hinsichtlich der Sprache: Alle vorstehend genannten Bestandteile standen der Behorde in der Sprache, in der 
die internationale Anmeldung eingereicht worden ist, zur Verfugung oder wurden in dieser eingereicht, sofern 
unter diesem Punkt nichts anderes angegeben ist. 

Die Bestandteile standen der Behorde in der Sprache: zur Verfugung bzw. wurden in dieser Sprache 
eingereicht; dabei handelt es sich urn 

□ die Sprache der Ubersetzung, die fur die Zwecke der internationalen Recherche eingereicht worden ist (nach 
Regel 23.1(b)). 

□ die Veroffentlichungssprache der internationalen Anmeldung (nach Regel 48.3(b)). 

□ die Sprache der Ubersetzung, die fur die Zwecke der internationalen vorlaufigen Prufung eingereicht worden 
ist (nach Regel 55,2 und/oder 55.3). • - r w^v/-,*v... C: ^:,. /~V- 

3. Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotid- und/oder Aminosauresequenz ist die 
internationale vorlaufige Prufung auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das: 

□ in der internationalen Anmeldung in schriftlicher Form enthalten ist. 

□ zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 

□ bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 

□ bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

□ Die Erklarung, daB das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den 
Offenbarungsgehalt der internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

□ Die Erklarung, daB die in computerlesbarer Form erfassten Informationen dem schriftlichen 
Sequenzprotokoll entsprechen, wurde vorgelegt. 

4. Aufgrund der Anderungen sind folgende Unterlagen fortgefallen: v 



INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT 



Internationales Aktenzeichen PCT/DE00/01 796 



□ 
□ 
□ 



Beschreibung, 

Anspruche, 

Zeichnungen, 



Seiten: 



Blatt: 



5. □ Dieser Bericht ist ohne Berucksichtigung (von einigen) der Anderungen erstellt worden, da diese aus den 

angegebenen Grunden nach Auffassung der Behorde uber den Offenbarungsgehalt in der ursprunglich 
eingereichten Fassung hinausgehen (Regel 70.2(c)). 

(Auf Ersatzblatter, die solche Anderungen enthalten, ist unterPunkt 1 hinzuweisen;sie sind diesem Bericht 
beizufugen). 

6. Etwaige zusatzliche Bemerkungen: 



II. Prioritat 

1 . □ Dieser Bericht ist ohne Berucksichtigung der beanspruchten Prioritat erstellt worden, da folgende 

angeforderte Unterlagen nicht innerhalb der vorgeschriebenen Frist eingereicht wurden: 

□ Abschrift der fruheren Anmeldung, deren Prioritat beansprucht worden ist. 

□ Ubersetzung der fruheren Anmeldung, deren Prioritat beansprucht worden ist. 

2. G3 Dieser Bericht ist ohne Berucksichtigung der beanspruchten Prioritat erstellt worden, da sich der 

Prioritatsanspruch als ungiiltig herausgestellt hat. 

Fur die Zwecke dieses Berichts gilt daher das obengenannte internationale Anmeldedatum als das 
maBgebliche Datum. 

3. Etwaige zusatzliche Bemerkungen: 
siehe Beiblatt 



V. Begriindete Feststellung nach Artikel 35(2) hinsichtlich der Neuhelt, der erfinderischen Tatigkeit und der 
gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 





1. Feststellung 



Neuheit (N) 



Ja: Anspruche 1-18, 20-24 
Nein: Anspruche 19 



Erfinderische Tatigkeit (ET) 



Ja: Anspruche 1-18,22-24 
Nein: Anspruche 19-21 



Gewerbliche Anwendbarkeit (G A) Ja: Anspruche 1-24 

Nein: Anspruche 



2. Unterlagen und Erklarungen 
siehe Beiblatt 
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VII. Bestimmte Mangel der internationalen Anmeldung 

Es wurde festgestellt, daB die internationale Anmeldung nach Form oder Inhalt folgende Mangel aufweist: 
siehe Beiblatt 



VIII. Bestimmte Bemerkungen zur internationalen Anmeldung 

Zur Klarheit der Patentanspruche, der Beschreibung und der Zeichnungen Oder zu der Frage, ob die Anspruche 
in vollem Umfang durch die Beschreibung gestutzt werden, ist folgendes zu bemerken: 
siehe Beiblatt 
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Zu Sektion II: 

Die vorliegende internationale Anmeldung PCT/DE00/01 796 nimmt die Prioritat 
DE 199 25 693.4 vom 04.06.1999 in Anspruch. Dieses Dokument liegt dem Priifer 
vor, und es ist erkennbar, daG das weiter genannte Dokument DE-A1-198 57 683 
vom 14.12.1998 zum Teil die Prioritat der vorliegenden Anmeldung ungultig 
werden laGt. 

Grundsatzlich gilt: 

In der Regel muB als Prioritat der Anmeldetag der "ersten Anmeldung, d.h. 
der Anmeldung beansprucht werden, in der der Gegenstand der internationalen 
Anmeldung erstmals ganz oder teilweise offenbart wurde. 
Stellt sich heraus, daG die Anmeldung, deren Prioritat beansprucht wird, nicht die 
erste Anmeldung im oben dargelegten Sinne ist, sondern daG der betreffende 
Gegenstand ganz oder teilweise in einer noch friiheren Anmeldung, die auf 
denselben Erfinder zuriickgeht, offenbart ist, so ist der Prioritatsanspruch insoweit 
unaultia . als der Gegenstand bereits in der noch fruheren Anmeldung offenbart 
wurde. 

Im vorliegenden Fall sind die DE-A1-198 57 683 und die vorliegende 
internationale Anmeldung PCT/DE00/01796 vom gleichen Anmelder bzw. Erfinder 
(Dr. Peter Wratil). Grundlegende Teile der vorliegenden Anmeldung 
PCT/DE00/01796 sind bereits in der DE-A1-198 57 683 enthalten. Insofern kann 
die Prioritatsschrift DE 1 99 25 693.4 vom 04.06.1999 nicht .als e^ste-^ome^TSf. 
gelten, und die Prioritat der Prioritatsschrift DE 199 25 693.4 vom 04.06.1999 ist 
nur insoweit fur solche Merkmale gultig, die noch nicht durch die DE-A1-198 57 
683 offenbart wurden. 

Die Grundlagen fur diese Aussage finden sich in Artikel 2 (xi) PCT, Artikel 8 PCT, 
Regel 64.1 (b) PCT und PCT-Richtlinien (V-1 .2 bis V-1 .4, V-2.2). 

Der Einwand bezuglich einer ungultigen Prioritat wird vor allem im Hinblick auf 
den vorliegenden unabhangigen Anspruch 19 erhoben. Der Gegenstand des 
Anspruchs 19 wird bereits durch die Schrift DE-A1-198 57 683 (vgl. Spalte 2, Zeile 
9, bis Spalte 3, Zeile 13; Figur) offengelegt Der Anspruch 19 kann daher nicht die 
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Prioritat der Prioritatsschrift DE 199 25 693.4 vom 04.06.1999 in Anspruch 
nehmen. 

Zu Sektion V: 

1 ) . Die Internationale Anmeldung PCT/DE00/01 796 ist laut Titel auf eine 

Schaltungsanordnung zur gesicherten Datenubertragung in einem ringformigen 
Bussystem gerichtet. Der vorliegende Anspruch 1 beansprucht ein System zur 
gesicherten Datenubertragung in ringformigen Bussystemen, der vorliegende 
unabhangige Anspruch 1 9 ein System zur gesicherten Datenubertragung, und der 
vorliegende unabhangige Anspruch 22 eine periphere sicherheitsrelevante Einheit 
in einem System zur gesicherten Datenubertragung in ringformigen Bussystemen. 

2) . Die folgenden im internationalen Recherchenbericht zitierten Dokumente werden 

in diesem internationalen vorlaufigen Priifungsbericht angegeben: 

D1 : US-A-5 1 1 5 1 77 (TANAKA KUNIO ET AL) 1 9. Mai 1 992 
D2: US-A-5 274 546 (KINOSHITA JIRO) 28. Dezember 1 993 

3) . Neben den Klarheitseinwanden in der Sektion VIII dieses internationalen 

vorlaufigen Priifungsberichtes mangelt es dem Gegenstand des Anspruchs 19 an 
Neuheit gemaB Art. 33 (1 ) und (2) PCT. 

4) . Das Dokument D1 offenbart, in Ubereinstimmung mit alien Jvlerkmalen des 

vorlieaenden unabhanaiaen Anspruchs 19 . 

ein System zur gesicherten Datenubertragung (siehe Figur 1 ; Spalte 2, Zeilen 18- 
27; Spalte 1 Zeilen 5-10 und 52-66), 
insbesondere in ringformigen Bussystemen, 

bei welcher eine periphere Uberwachungseinheit (Fig. 1 ,"2 - programmable 
controller (PC)") die von einer Steuerung (Fig. 1, "1 - numerical control system 
(CNC)") ausgesendeten Daten (Fig. 1 , "Signals F"; Spalte 2, Zeilen 46-49) 
kontrolliert und auf Fehler untersucht (siehe Spalte 2, Zeilen 46-56) und 
im Fehlerfall (Spalte 2, Zeile 60 ff.) 

Freigabe-Daten (Fig. 1, "Signals Y") fur eine periphere sicherheitsrelevante 
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Einheit (Fig. 1 , "3 - machine tool") unterdruckt oder loscht (Spalte 2, Zeilen 
60-68; Spalte 3, Zeilen 29-31 sowie Zeilen 39 und 40), 
so daB ein Fehler nicht in den Steuerungsproze3, 
insbesondere nicht in Datenubertragungsablaufe, 
gelangen kann (Spalte 3, Zeilen 1-20). 

Der Gegenstand des Anspruchs 19 ist somit nicht neu und erfullt daher nicht die 
Erfordernisse der Artikel 33 (1) und (2) PCT. 

5) . Selbst wenn die Anmelderin argumentieren wurde, der Anmeldungsgegenstand 

sei - basierend auf geringfugigen Unterschiedsmerkmalen zum nachgewiesenen 
Stand der Technik - neu, konnte der Anmeldungsgegenstand aufgrund des um- 
fangreichen Offenbarungsgehaltes der Entgegenhaltung D1 auf dem gleichen 
technischen Gebiet bei gleichem Losungsprinzip zumindest als nicht erfinderisch 
angesehen werden (Artikel 33 (1 ) in Verbindung mit Artikel 33 (3) PCT). 

6) . Der Gegenstand des Anspruchs 19 ist ferner nicht erfinderisch im Lichte von 

Dokument D2. 

D2 offenbart ein System zur gesicherten Dateniibertragung (Fig. 1), 
bei welcher eine Uberwachungseinheit (Fig. 1 , "programmable machine controller 
(PMC) 23") die von einer Steuerung (Fig. 1 , "CPU 1 1 bzw. DIAGNOSTIC CPU 1 ") 
iiber den Bus (Claim 3) ausgesendeten Daten kontrolliert und auf Fehler 
untersucht (Spalte 2, Zeilen 41 -53) und 

... im Fehlerfall (Spalte 2, ab Zeile 53) Freigabe-Datep .fur :0&$?!j$\$fe 

sicherheitsrelevante Einheit (Fig. 1, "Machine Tool 26") unterdruckt oder loscht, so 
daB ein Fehler nicht in den SteuerungsprozeB gelangen kann. 

D2 offenbart zwar nicht explizit, daB die Freigabe-Daten unterdruckt oder geloscht 
werden, aber dies ist fur einen Fachmann selbstverstandlich. Denn die 
Dokumente D1 und D2 stammen vom gleichen Anmelder und die Offenbarung 
von D1 liegt zeitlich vor der von D2. D1 enthalt jedoch zweifellos das Merkmal des 
Unterdruckens bzw. Loschens von Freigabe-Daten. 

Der Gegenstand des Anspruchs 19 beinhaltet somit keine erfinderische Tatigkeit 
im Lichte von D2 in Verbindung mit dem Dokument D1 (Art. 33 (1) und (3) PCT). 
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7) . Die zusatzlichen technischen Merkmale der abhangigen Anspruche 20 und 21 fu- 

gen den technischen Merkmale des unabhangigen Anspruchs 19 weder alleine 
noch in Kombination miteinander etwas Erfinderisches hinzu. 
Die Zusatzmerkmale der abhangigen Anspruche werden entweder durch die 
Dokumente D1 oder D2 offenbart, definieren einfache fachmannische 
MaBnahmen auf dem Gebiet der Datenubertragung, die innerhalb des normalen 
Tatigkeitsbereiches eines einschlagigen Fachmanns liegen bzw. stellen lediglich 
zweckmaBige bauliche MaBnahmen ohne erfinderischen Eigenwert dar. 

Die abhangigen Anspruche 20 und 21 genugen somit wegen mangelnder 
erfinderischer Tatigkeit nicht den Erfordernissen des Artikels 33 (3) PCT. 

8) . Der Stand der Technik und dessen Nachteile werden von der Anmelderin in der 

Beschreibung (siehe insbesondere Seite 1, Zeile 12, bis Seite 2, Zeile 26) 
erlautert. 

9) . Die Aufgabe der Erfindung (vgl. Seite 2, Zeile 28, bis Seite 3, Zeile 2) ist es 

hauptsachlich, Fehler in einem (Steuerungs-) ProzeB zu erkennen, der lediglich 
mit Standardeinheiten aufgebaut ist. 



10). Die Aufgabe der Erfindung wird durch das vorteilhafte Zusammenwirken der im 
vorlieaenden Anspruch 1 genannten technischen Merkmalen gelost. Das System 
des Anspruchs 1 wird in der Figur 1 illustriert. 

Der Anspruch 1 lautet: • 

System zur gesicherten Datenubertragung in ringformigen Bussystemen, 
umfassend 

eine Steuerung (1), 

die Ausgangsdaten und Kontrollsignale fur einen SteuerungsprozeB zu 
peripheren Einheiten (4, 7, 8, 9, 12) sendet, 

eine periphere Uberwachungseinheit (4), 

die eine erste Transfer-Einheit (5) zur Uberwachung der gesendeten 
Daten und 

eine zweite Transfer-Einheit (6) zur Uberwachung von in die Steuerung 



INTERN ATIONALER VORLAUFIGER Internationales Aktenzeichen PCT/DE00/01796 
PRUFUNGSBERICHT - BEIBLATT 



(1) zuriickzulesenden Daten aufweist, und 

mindestens eine periphere sicherheitsrelevante Einheit (9) 

zum Empfangen Oder Senden von Daten mit Sicherheitsbezug, 
in der Daten zur Ausgabe zwischengespeichert werden, 

die 

eine Kontroll-Logik (11) zur Gberwachung der zwischengespeicherten Daten 
und 

eine Ausgangs-Einheit (10) zur Ausgabe der zwischengespeicherten Daten 
aufweist, 

wobei die zwischengespeicherten Daten durch die Kontroll-Logik (1 1 ) so 
uberwacht werden, daB im Fehlerfall ein sicherer Zustand der Ausgabe- "~ 
Einheit (10) fur den SteuerungsprozeB eingeleitet wird, 

wobel die erste Transfer-Einheit (5), die von der Steuerung (1 ) ausgesendeten 
Daten derart uberwacht, daB im Fehlerfall Freigabe-Daten fur die periphere 
sicherheitsrelevante Einheit (9) unterdruckt oder geloscht werden, so daB 
fehlerhafte Daten nicht in den SteuerungsprozeB, 
insbesondere in Datenubertragungsablaufe, 
gelangen, 

wobei uber die zweite Transfer-Einheit (6), die Eingangsdaten der peripheren 
sicherheitsrelevanten Einheit (9), sowie deren zwischengespeicherten Daten 
zuriickgelesen werden. 

11). Die Aufgabe der Erfindung wird auch durch das vorteilhafte Zusammenwirken der 
im unabhanaiaen Anspruch 22 genannten technischen Merkmalen gelost. Die 
periphere sicherheitsrelevante Einheit des Anspruchs 22 wird in der Figur 2 illu- 
striert. 

Der Anspruch 22 lautet: 

Periphere sicherheitsrelevante Einheit in einem System zur gesicherten 
Dateniibertragung in ringformigen Bussystemen, 
umfassend 

zwei Buseinheiten (22,23), 
^ urn die auszugebenden Daten einer Buseinheit (22) auch auf den 
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Eingangsteil der anderen Buseinheit (23) weiterzugeben, urn Informationen 
vom SteuerungsprozeB uber redundante Eingabe-Kanale (24, 25) holen zu 
konnen, und urn die auszugebenden Daten einer peripheren 
Uberwachungseinheit (4) zum Zurucklesen zur Verfugung zu stellen, 

ein Zwischenspeicher (27), 

in dem die auszugebenden Daten vor der Freigabe abgelegt wird, 
eine Ausgabe-Logik (28) 

woruber die zwischengespeicherten Daten ausgegeben werden und 
eine Kontroll-Logik (11), 

die daruber entscheidet, ob die im Zwischenspeicher (27) gespeicherte 
Daten uber die Ausgabe-Logik (28) ausgegeben wird. 

12) . Die in den Anspruchen 1 und 22 beschriebenen Anordnungen entfalten 

vorteilhafte Wirkungen, insbesondere hinsichtlich einer Schutzwirkung vor 
Fehlfunktion, wie auf Seite 8 (Zeilen 14-26) und Seite 9 (Zeilen 5-10) der 
Beschreibung erlautert. 

13) . Die Gesamtheit aller technischen Merkmale des Anspruchs 1 bzw. 22 wird durch 

kein Dokument des internationalen Recherchenberichts alleine offenbart. Der Ge- 
genstand des Anspruchs 1 bzw. 22 erfullt somit das Kriterium der Neuheit (Art. 33 
(1) und (2) PCT). : 

Die im internationalen Recherchenbericht genannten Dokumente legen den 
Gegenstand des Anspruchs 1 bzw. 22 auch nicht nahe. Somit sind die 
Anforderungen hinsichtlich einer erfinderischen Tatigkeit des beanspruchten 
Gegenstandes erfullt (Artikel 33 (1) und (3) PCT). 

Gewerblich anwendbar ist der Gegenstand des Anspruchs 1 bzw. 22 wie auf Seite 
2 dargetan. Folglich sind die Bedingungen des Artikels 33 (1) und (4) PCT 
hinsichtlich der gewerblichen Anwendbarkeit erfullt. 

14) . Die abhangigen Anspruche 2 bis 18 bzw. 23 und 24 definieren spezielle 
Auslegungen des Systems gemaB Anspruch 1 bzw. spezielle Ausgestaltungen 
der peripheren sicherheitsrelevanten JEinheit gemaB unabhangigem Anspruch 22, 
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welche gleichfalls den Anforderungen hinsichtlich Neuheit, erfinderischer Tatigkeit 
und gewerblicher Anwendbarkeit geniigen (Art. 33 (2) bis (4) PCT). 

Zu Sektion VII: 

1) . Um die Erfordernisse der Regel 6.3 (b) PCT zu erfullen, hatten die unabhangigen 

Anspruche 1,19 und 22 in der zweiteiligen Form abgefaGt und die aus dem 
Stand der Technik (siehe D1 beziigl. Anspruch 19; DE-A1-198 57 683 vom 
14.12.1998 bezuglich der Anspruche 1 und 22) in Kombination miteinander 
bekannten technischen Merkmale in den Oberbegriff aufgenommen werden 
sollen. 

2) . Die Dokumente D1 und D2 wurden in der Beschreibung nicht angegeben; auch 

der darin enthaltene einschlagige Stand der Technik wiirde nicht kurz umrissen. 
Die Erfordernisse der Regel 5.1 (a)(ii) PCT sind somit nicht erfullt worden. 

3) . Die Beschreibung wurde nicht an die gultigen Anspruche angepaBt; d.h. die 

Beschreibung stellt die Erfindung nicht so dar, wie die Erfindung in den 
Anspruchen gekennzeichnet ist. Die Erfordernisse der Regel 5.1 (a)(iii) PCT sind 
folglich nicht erfullt. 

4) . Die Beschreibung verwendet entgegen der Regel 10.2 PCT die Terminologie und 

Zeichen nicht einheitlich. Die Beschreibung definiert unte^ 
"11" einerseits eine Kontroll-E/nne/f (Seite 6, Zeile 5) und andererseits eine 
Kontroll-Log//c (Seite 7, Zeile 12; Seite 8, Zeile 5). Die Benutzung unterschied- 
licher Terminologie fur anscheinend den ein und selben Gegenstand ist nicht im 
Einklang mit den Bestimmungen der Regel 10.2 PCT. 

5) . Die Beschreibung sollte sich auf Seite 8, Zeilen 3 bzw. 6, auf den 

Zwischenspeicher 27 beziehen, wie dieser auch in der Figur 2 bezeichnet worden 
ist. 

6) . Die Beschreibung beinhaltet auf Seite 3, Zeilen 6 bis 8, die Aussage "dessen . ... 
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Inhalt durch Bezugnahme vollumfanglich auch zum Gegenstand des vorliegenden 
Schutzbegehrens gemacht wird". Die Anmelderin will damit ein Dokument zum 
Teil oder in Ganze in die Beschreibung mit aufnehmen. Jedoch ergeben sich 
dadurch Klarheitsprobleme, da es vage und zweifelhaft ist, auf welche Merkmale 
Bezug genommen wird. Weiterhin verstoBt diese Art von Bezugnahme der 
Grundanforderung an jede Anmeldung, da3 die Erfindung aus der Beschreibung 
allein verstandlich sein muB. Urn diesen Klarheitseinwand zu beheben kann 
entweder der o.g. Satz einfach gestrichen werden oder der zitierte relevante 
Stand der Technik gema.6 Regel 5.1 (a) (ii) PCT in einer kurzen 
Zusammenfassung diskutiert werden (siehe dazu auch die PCT-Richtlinien, PCT 
Gazette, 11-4.17). 

7). Die Beschreibung stiitzt den Anspruch 22, welcher sich auf eine periphere 
sicherheitsrelevante Einheit bezieht, nicht zweifelsfrei. 

Die Beschreibung fuhrt aus, daB die Figur 2 den internen Aufbau der peripheren 
sicherheitsrelevanten Einheit des Systems zeigt (vgl. Seite 3, Zeilen 25 bis 27; 
Seite 7, Zeilen 22 und 23). Somit bilden alle gezeigten Komponenten der Figur 2 
die periphere sicherheitsrelevante Einheit. 

Gegensatzlich zu dieser vorgenannten Aussage wird in den Figuren 1 und 2 eine 
periphere sicherheitsrelevante Einheit 9 gezeigt, welche nur aus zwei Bus- 
Einheiten 22 und 23 besteht. Dementsprechend ist auch die Beschreibung auf 
Seite 7, Zeilen 25 bis 30. 

Der unabhangige Anspruch 22 beansprucht eine periphere sicherheitsrelevante 
Einheit. Diese besteht laut Anspruch 22 aus folgenden Komponenten: 
zwei Buseinheiten (22,23), 

einem Zwischenspeicher (27), 
einer Ausgabe-Logik (28), und 
einer Kontroll-Logik (11). 

GemaB Figuren 1 und 2 und der Beschreibung auf Seite 7 (Zeilen 25 bis 30) sind 
jedoch die Komponenten "Zwischenspeicher (27), Ausgabe-Logik (28) und 
Kontroll-Logik (1 1)" keine Teile einer peripheren sicherheitsrelevanten Einheit (9). 
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Die Beschreibung stiitzt somit den Anspruch 22 nicht zweifelsfrei (Art. 6 PCT). 

8). Im Anspruch 19 sollte es korrekterweise "Datenubertragungsablaufe" und im 
Anspruch 23 sollte es korrekten/veise "zwischengespeicherten Daten" hei8en. 

Zu Sektion VIII: 

1 . Die folgenden Anspruche sind unklar und erfullen daher nicht die Erfordernisse 
des Artikels 6 (PCT). 

1a. In den Anspruchen wird mehrfach die Formulierung insbesondere ...," 

verwendet. GemaB den PCT-Richtlinien (PCT Gazette, Section IV, III-4.6) sind 
derartige Definitionen dahingehend zu untersuchen, ob sia keine Zweideutigkeiten 
verursachen. Ferner sind die technischen Merkmale, die dem Ausdruck 
"insbesondere" nachfolgen, als optional bezuglich des Schutzumfangs an- 
zusehen; d.h. diese Merkmale haben keinen limitierenden Effekt mit Blick auf den 
Schutzbereich. 

Dementsprechend werden die dem Ausdruck "insbesondere" nachfolgenden 
Merkmale bei der Anspruchsanalyse auBer acht gelassen. 

1 b. Der Anspruch 1 ist unklar (Art. 6 PCT), denn es ist vage was "im Fehlerfall" als 
"ein sicherer Zustand der Ausgabe-Einheit (10)" zu verstehen ist, und wann 
dieser "sichere Zustand der^ 
eingeleitet wird". 

1c. Der abhangige Anspruch 4 ist unklar (Art. 6 PCT) bezuglich der Definition 11 uber 
einen Zwischenspeicher verfugt, der von einer Bus-Einheit (23) ruckgelesen wird 
...". Es ist unverstandlich, was exakt mit dem Verb "ruckgelesen" gemeint ist. 
Der abhangige Anspruch 4 bezieht sich ferner auf "die Ausgabe-Logik (28) mit 
dem Ausgangssignal (29) von der peripheren Uberwachungseinheit (4)". 

Weder die Ausgabe-Logik (28) noch das Ausgangssignal (29) haben eine 
vorausgehende Definition, als da(3 im Anspruch 4 mit bestimmten Artikel darauf 
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Bezug genommen werden konnte. 

Weiterhin ist 29 der Ausgang der Ausgabe-Logik 28 (vgl. Seite 8, zweiter Absatz) 
und nicht "das Ausgangssignal (29) von der peripheren Uberwachungseinheit (4)". 

1 d. Der neu aufgenommene abhanaiae Anspruch 9 bezieht sich auf "Daten der SPS ". 
Eine SPS wird in keinem vorausgehenden Anspruch 1 bis 8 oder vorausgehend. 
im Anspruchswortlaut des Anspruchs 9 definiert. Somit ist unklar, wie die SPS im 
System eingebunden ist. Der Anspruch 9 erfullt daher nicht die Erfordernisse des 
Artikels 6 PCT. Mit der SPS im Anspruch 9 ist vermutlich die Steuerung (1) 
gemeint. 

1e. Die abhangigen Anspriiche 15 und 16 sind unklar (Art. 6 PCT). 

Die Gegenstande der Anspriiche 1 5 und 1 6 beanspruchen als Negativmerkmale 
"mit nicht sicherheitsrelevanten Standard Bausteinen zum Busverkehr auskommt 
und keinerlei sicherheitsrelevante Spezialbausteine bendtigt. "sowie "da/3 die 
Funktion bei Standard-Bussystemen betriebsfahig ist und ohne zusatzliche 
Installation von weiteren Bussystemen oder speziellen Komponenten 
funktionsfahig ist." Diese Negativmerkmale versuchen, zu definieren, was nicht 
beansprucht wird. Mit Blick auf die Negativmerkmale kommt die Formulierung 
dessen was nicht beansprucht wird, einem sogenannten "Disclaimer" 
[AnspruchsausschluB] (vgl. PCT-Richtlinien, 111-4.12 und V-2.2) gleich, der 
ublicherweise vermieden werden soil. Neben der Tatsache, da(3 gemaB Artikel 6 
PCT der Anspruch denjenigen Gegenstand anzugeben hat, fur den Schutz 
begehrt wird, und nicht jenen fur welchen kein Schutz begehrt wird (Disclaimer), 
ist die vorgenannte Negativmerkmalsdefinition auch unklar (Art. 6 PCT). 

Es ist bezuglich Anspruch 15 nicht unzweideutig klar, was mit "nicht 
sicherheitsrelevanten Standard- Bausteinen zum Busverkehr" beansprucht wird. 

Es ist bezuglich Anspruch 16 femer unklar, was mit "der Funktion" gemeint ist, 
zumal eine Funktion nirgends in den Anspriichen definiert wurde. "Die Funktion 
von Standard-Bussystemen" stellt weiterhin kein zusatzliches Merkmal eines 
beanspruchteh Systems im Sinne der Regel 6. 4 PCT dar. 
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1f. Es ist bezuglich des abhangigen Anspruch 17 unklar, was mit " der Funktion" 

gemeint ist, zumal eine Funktion nirgends in den Anspruchen definiert wurde. 11 Die 
Funktion" stellt weiterhin kein zusatzliches Merkmal einer beanspruchten 
Schaltungsanordnung im Sinne der Regel 6. 4 PCT dar. 
Die Anspruche haben nirgends sogenannte " normale dezentrale Einheiten" 
definiert, als da8 im Anspruch 17 der genannte Austausch aus den Anspruchen 
heraus verstanden werden konnte. 

1g. Die im abhangigen Anspruch 18 genannte "Sicherheitsfunktion 1 ' hat keine 
vorausgehende Definitionsbasis in einem anderen Anspruch. Sie ist daher 
bezuglich des bestimmten Artikels unverstandlich und macht den Anspruch 18 . 
folglich unklar. 

2. Der unabhangige Anspruch 19 ist unklar (Art. 6 PCT). 

2a. Der Anspruch 19 entspricht nicht den Erfordernissen des Artikels 6 PCT, weil der 
Gegenstand des Schutzbegehrens nicht klar definiert ist. Im Anspruch wird 
versucht, den Gegenstand durch das zu erreichende Ergebnis (" ... so daB ein 
Fehler nicht in den ProzeB, ... , gelangen kann.) zu definieren; damit wird aber 
lediglich die zu losende Aufgabe angegeben. Zur Beseitigung dieses Mangels 
erscheint es erforderlich, die fur die Erzielung dieses Ergebnisses notwendigen 
technischen Merkmale in den Anspruch aufzunehmen. 

2b, - Der Schutzgegenstand des Anspruchs 1 9 ist auf ein System gerichtet Jedoch 
werden die Teile des Systems nicht definiert, und es ist unklar, ob die periphere 
Uberwachungseinheit (4), die Steuerung (1) und die periphere 
sicherheitsrelevante Einheit (9) Baugruppen des Systems sind oder nicht. Das 
Adjektiv "peripher" erweckt den Anschein, da3 zumindest die 
Uberwachungseinheit (4) und die sicherheitsrelevante Einheit (9) extern von dem 
System angeordnet sind. 

2c. Der Anspruch 19 nimmt Bezug auf " den SteuerungsprozeB" (vgl. Seite 15, Zeile 
24). Im Anspruch 19 ist weder ein SteuerungsprozeB angegeben, noch ist aus 
dem Anspruchswortlaut heraus verstandlich was mit " dem SteuerungsprozeB" 
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gemeint sein konnte. 

2d. Aus der Beschreibung (Seite 7, Zeilen 3 und 4; Seite 3, Zeile 10 ff.; siehe auch 
Titel gemaB Antragsformular) geht hervor, daB die nachfolgenden Merkmale fur 
die Definition der Erfindung wesentlich sind: 

die Schaltungsanordnung wird in Bussystemen angewendet; 
die Bussysteme sind ringformiger Natur. 

Da der Anspruch 19 sich weder auf Bussysteme noch auf ringformige 
Bussysteme beschrankt, entspricht er nicht dem Erfordernis des Artikels 6 PCT in 
Verbindung mit Regel 6.3 (b) PCT, daB jeder unabhangige Anspruch alle 
technischen Merkmale enthalten muB, die fur die Definition der Erfindung 
wesentlich sind. 

3. Der abhangige Anspruch 20 definiert ein "System nach Anspruch 19, bei welcher 
zwischengespeicherte Daten der peripheren sicherheitsrelevanten Einheit (9) uber 
eine Bus-Einheit gelesen und durch eine Kontroll-Logik (11) uberwacht und 
erkannt werden.". 

Erstens ist unklar, was mit "welcher" gemeint ist und zweitens ist die Erkennuna 
von zwischenaespeicherten Daten durch eine Kontroll-Logik nirgends in der 
Beschreibung ausgefuhrt. Der Anspruch 20 ist daher unklar (Art. 6 PCT). 
Drittens ist unklar, welche zwischengespeicherten Daten gelesen werden (woher 
komrnen die Daten und was beinhalten sie ?). ■....;^v.^;:-^^. v .^ 

4. Der abhangige Anspruch 21 ist unklar (Art. 6 PCT). 

Denn es ist unklar, was mit dem Relativpronomen "bei welcher" (Seite 16, Zeile 2) 
ausgedriickt werden soli. Weiterhin ist der Anspruchswortlaut unklar mit Blick auf 
den Begriff "sicherer Zustand der Datenubertragung". Es ist absolut 
unverstandlich, welches technische Merkmal damit konkret unter Schutz gestellt 
werden soil. Auch ist im Anspruch 21 eher ein Verfahrensschritt definiert als ein 
fur den Anspruch 21 notwendiges Vorrichtungsmerkmal. 
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S chal tungs anor dnup g zur gesicherten 
Datenubertragung/ insbesondere in ringf onnigen 
Bus sy st emeu 



Beschreibung 

Die Erf induiig betrif f t eine Schaltungsanordnung zur 
gesicherten Datenubertragung, insbesondere in ringformigen 
10 Bussystemen. 

Ini Maschinen- und Anlagenbau werden heute nicht selten 
Bewegungeh und Vorgange gesteuert oder geregelt, die im 
Fehlerfall oder bei Versagen eine Gaf ahr fur das Leben und 
IS die Gesundheit von Personen, insbesondere des bedienenden 
Personals/ darstellen. Neben diesen Ge£ aJa&^q&fr*w 
auch wertvolle. Maschinenteile zu sch&tzen, die- bei m6glichen 
Fehlfunktionen hohe finanzielle Schaden erleiden konnen. 

20 Eventuell auftretende Fehler mussen daber durch den Prozefi 
bzw. die vorhandenen Steuereinrichtungen erfcannt werden, und 
die Maschine sollte stets in einem Zustand gefuhrt werden, 
der als gefahrlos anzusehen ist. In der Regel eind hierfOur 
redundante Strukturen notwendig, die unabhangig' von der 

25 eigentlichen Steuerung oder Regelung die 

sicherheitsfunJctionen tiberwachen. Im Maschinen- oder 
Anlagenbau ist zur Fehlererkennung haufig eine Feststellung 



2 



eines Einfachfehlers hinreichend. Nach Erkennen dieses 
Fehlers kann dann der Steuerungsprozefi $ abgebrochen werden 
und in einem sicheren Zustand verweilen. Ein eventueller 
Schaden durch. die fehlerhafte Fortfuhrung des Prozesses is* 
5 damit unterbunden. 

Die Verfahren zur Fehlererkennung und deren notwendige 
MaSnahmen sind in den internationalen Normen DIN V VDE 0801 
und DIN ISO 61508 festgehalten. Durch die Grundlagen dieser 
10 Normen hahen die Hersteller von Autoraatisierungseinriehtungen 
in den letzten Jabxen unterschiedliche Strategien entwickelt , 
welche sichere Ubertragungen an Bussystemen erlauben, siehe 
beispielsweise den Profibus mit P-Profil, PNO und Safety-Bus 
P, der Pa. Pilz und Sick. 

15 

Zusatzlich werden Steuerungen auf den Markt gelangen, die 
bereits intern redundante Strukturen aufweisen und so im 
Zusammenspiel mit den genahnten sicheren Bussystemen eine 
Fehlererkennung zulassen, siehe beispielsweise die Bussysteme 
20 der Fa. Siemens, insbesondere die Geratereiche S 7 400 F, 
. Oder die PSS 3000-Serie der Firtna Pilz. 

Die dort implementierten Verfahren lassen sich jedoch nur bei 
vollstandig neuer Installation der notwendigen Komponenten 
25 einsetzen und schutzen nur mangelhaft gegen systematische 
Fehler. 

Die Erfindung macht es sich viel mehr zur Aufgabe, Fehler in 
einem Prozefi zu erkennen, der lediglich mit Standardeinheiten 
30 aufgebaut ist. 

Daruber hinaus sollen vorzugsweise nicht nur eventuelle 
Fehler beim Datentransport fiber ein verwendetes Bussystem, 



sondern auch Storungen oder Programmierfehler in der 
Steuerungseinrichtung erkannt und eliminiert werden. 

Die Schaltungsanordnung stellt damit eine Realisierung einea 
Verfahrens vor, das bereits unter dero nachveroffentlichten 
Patent Nr. 198 57 683.8 angetneldet wurde, deseen Inhalt durch 
Bezugnahme vollumf anglich auch zum Qegenetand dee 
vorliegenden Schutzbegehrens gemacht wird. 

Das crfindungagomafic Verfahren eignet sich besonders ffcr alle 
ringformigen Bussysteme, wobei die beschriebene Technifc 
optimal auf den Interbus -Standard abgestimmt ist, .Kier wurde 
bereits Anfang .1999 ein Anforderungsprofil erarbeitet unci 
verfiffentlicht, Zeitschrift IEE, April 1999, Karsten Meyer- 
Graf e; "Interbus goes Safety". 

Die Erfindung wird nachfolgend detailliexter anhand der 
beigefugten Zeichnungen und unter Bezugnahme auf bevorzugte 
Ausfuhrungsformen beschrieben. 

Es zeigen: 

Fig. 1 den Aufbau fur einer ersten Ausfuhrungsform einea 
Systems zur gesicherten Datenubertragung, 

Pig- 2 den intemen Aufbau der peripheren 

3icherhei t srelevanten doBontralcn Einheit des 
Systems zur gesicherten Datenubertragung. 

Die Erfindung wird nachfolgend detaillierter, zunachst unter 
Bezugnahme auf Fig. 1 beschrieben. Fig. l zeigt einen 
geeigneten Aufbau fur ein derartiges System, 



Die Steuerung (1) ubernimmt im ProzeS alle steuerungs- und 
Regelfunktionen, wie dies beispielsweise von dera 
herkommlichen Interbus- System her bekannt ist. Die Steuerung 
(1) Sie erkennt auch mogliche Fehler und kann Prozesse 
unterbrechen oder in einen sicheren Zustand fuhren. 

Im Falle eines eigenen Versagens oder bei fehlerhaftem 
Datentransport ist die Steuerung (1) se jedoch 
herk&inmlicherweise nicht in der Lage, den gewunschten 
sicheren Zustand herbeizufuhren. Dieaer Ausfall iet._ 
beispielsweise auch dann gegeben, wenn in dem 
Steuerungssystem bereits eine weitgehende Trennung von 
Prozefisteuerung und Sicherheitskontrolle vorliegt. Da es in 
herkommlicher Weise auch hier keine Redundan2 gibt, wird ein 
unerkannter Fehler m6glicherweise schwerwiegende Folgen 
haben . 

Entsprechend der Erfindung werden weitere Komponenten 
hinzugefugt, die einen m6glichen Fehler erkennen und 
eliminieren. Diese Einheiten sind! Eine periphere 
Oberwachungseinheit (4) und eine oder raehrere periphere • . 
sicherheitsrelevante donentralc Einheiten (9) im ProzeS 
die nur dort notwendig sind, wo Daten mit Sicherheitsbezug 
empfangen oder gesendet werden. 

Die Steuerung (1) beinhaltet ein Daten-Abbild-Register (2) , 
das alle Ausgangsdaten und weitere Kontrollsignale uber die 
Datenleitung (13) zu den peripheren Einheiten (7, 8, 12, 
periphere sicherheitsrelevaa.be Eiaheit 9 und periphere 
Uherwachungseinheit 4) sendet. 

Da der Bustransport ahnlich wie ein Schieberegister 
funktioniert, senden alle peripheren Einheiten Qber die 
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Ruckleitung (14) im gleichen Buszyklus ihre Eingangsdaten zur 
Steuerung, die im Daten-Abbild-Register (3) zur Verfugung 
stehen. In einem folgenden SPS-ZyJclus (Speicher- 
progratnmierbaren-Steuerungs-Zyklus) verarbeitet die SPS 
5 (Speicher-programmierbare-Steuerung) nun die Daten aus ihren 
beiden Abbild-Registern (2, 3) und erzeugt so den notwendigen 
Zustand fur den Pro2eS. 

Ohne die periphere flberwachungseinheit (4) 6 e» und die 
10 periphere sicherheitsrelevante Einheit (9) ist die SPS se 
jedoch nicht in der Lags, einen Programmierxehler, einen 
Zustand durch Storung oder Ausf all Oder einen Datenfehler 
durch f alschen Bustransport zu regeln. Die periphere 
Oberwachungseinheit (4) beinhaltet daher einen eigenen 
15 Mikroprozessor, der die gesendeten Daten der SPS uberwacht 
und nur die sicherheitsrelevante Gr&Sen auf Sinnfalligkeit, 
insbesondere deren Korrektheit, untersucht. 

So ist die periphere Oberwachungseinheit (4) mit der 
20 Transfer-Einheit (5) in der Lage, die SPS zu uberwachen. Die 
periphere uberwachungseinheit (4) ee kann aber noch . . 
zusatzlich uber die im Rucklauf install ierte Trans fer-Einheit 
(6) auch die Daten der Eingange der do z antral - on peripheren 
Einheiten lesen. Da die periphere sicherheitsrelevante 
25 Einheit (9) ihre Ausgangsinformation (D3) auch direkt an den 
*e Eingangsteil der Buseinheit (23) (C3) weitergibt, gelingt 
so eine direkte Kontrolle, ob der Bus transfer ordnungsgemaS 
funktioniert hat. 

30 Femer ist die periphere Oberwachungs einheit (4) mit ihrer 
Transfer- Einheit (5) auch in der Lage, die Daten fur die 
periphere sicherheitsrelevante dooonfaar - alo Einheit (9) zu 
manipulieren. Die periphere Uberwachungseinheit (4) ee kann 
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insbesondere Daten der SPS uberschreiben und so eine 
Zustimmung zur Datenauegabe von der peripherea 
sicherheitsrelevanten Einheit (9) unterbinden. Die periphe: 
sicherheitsrelevante doncntralc Einheit (9) wird nur dann 
aktiv, wenn diese uber die Kontroll -Einheit (11) eine 
Zustimmung fur die Daten der Ausgabe-Einheit (10) erhalten 
hat. 

Das Timing mit dem Datentransport ist in der folgenden 
Tabelle gezeigt: 
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Das Timing-Diagramm zeigt den Zustand nach jeder Schiebe- 
Information in\ Ring anhand eines bevorzugten 
5 orf indting - egcmagQrt Beispiels, dera Interbus System der Firma 
Phoenix Contact GmbH und Co. KG. 

Die Information AC3 ist von der peripheren 
tfeerwachungseinheit (4) mit der Transf er-Einheit (5) 
10 manipulierbar und kann uberschrieben werden. Somit erhalt die 
periphere sicherheitgrelevante dogcntralc Einheit (9) in 
ihrer Kontroll-Logik (11) eine Zusatz- Information, die eine 
fehlerhafte Ausgabe unterbindet. 

15 Wie aus dem Timing-Diagramm ebenfalls ersichtlich ist, kann 
die periphere Uberwachungseinheit (4) -f*f auch die Daten der 
Ausgabe von der periphere sioherheitsrelevanten Einheit (9) 
lesen (EC3) « Diese Daten stellen die direkte Ausgabe- 
Information der periphere sicherheitarelevanten Einheit (9) 

20 dar, so dafi ein Bxisf ehler sicher erkannt wird. 

Der interne Aufbau der peripheren sioherheitsrelevanten 
dccontralon Einheit (9) ist in Fig. 2 dargestellt. 

25 Die periphere sicherheitsrelevante Einheit (9) ee 4if besteht 
aus zwei Buseinheiten bauotcincn (22, 23), so dafi 
„ Eingangsinformationen redundant vom OtouGmngsp - rocofl P 
geholt werden kdnnen (24, 25). Zusatzlich wird die 
Ausgabeinformation Dn von einer Busoinheit (22) Ciber den 

30 Eingangsteil der anderen Buseinheit (23) » abgebildet, Bin 
mfcglicher Fehler bei der internen Ablage oder beim 
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Bub transport wird damit im Polge-Zyklus des Bustransports 
erkannt. Die Ausgabeinformation von Dn wird von der Steuerung 
(SPS) in den Zwischenspeicher (7) geschrieben. 

Die Kontroll-Logik (11) -W- entscheidet aber zusatzlich 
daruber, ob die Information des Zwischenspeichers (7) uber 
die Ausgabe-Logik (28) an der Peripherie erscheint. Diese 
Kontroll-Logik (11) 4S4- kann entweder die gespeicherte 
Information freigeben uber die Leitung (30) i oder den 
Zustand ldschen uber die Leitung (31) i, so daS der Auagang 
(29) den SteuerungsprozeS £ in einen sicheren Zustand 
bringt. 

Die Schaltungsanordnung funktioniert daher im Prinzip in 
vielen Bereichen genauso, wie ein normales dezentrales SPS- 
System. Die Komponenten erlauben es lediglich zusatzlich, 
Eingange redundant zu uberwachen and gespeicherte 
Ausgabeinformationen vor der Ausgabe auf Sinnfalligkeit, 
insbesondere Pehlerf reiheit , zu untersuchen. Ferner kann die 
Oberwachungseinheit auch Fehler erkennen, die nicht nur durch 
Ausfall oder Storung zustande gekommen sind, sondem einen 
Prbgrammier- oder Parametrierfehler als Ursache batten. 

Die vorliegende Schaltungsanordnung erlaubt es somit, an 
ringfdrmigen Standardbussystemen Da ten zu ubertragen, die fur 
den Aufbau fehlertoleranter Strukturen' notwendig sind. 

Zur Realisierung wird eine Oberwachungseinhelt und werden 
periphere dcscntrolc Ein- und Ausgabeeinheiten, die Daten zur 
Regelung oder Steuerung senden oder entgegennehmen, 
eingesetzt. 
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Die Schaltungsanordnung ubernimmt die Aufgabe, eventuelle 
Fehler zu erkennen, die fur den SteuerungsprozeS 
insbesondere fxir die ftbertragung von Steuerungs-, Sensor- 
oder Aktordaten, innerhalb einer Maschine oder Anlage zur 
5 Gefahr werden konnen. Durch den interzien Aufbau identif iziert 
die Schaltungsanordnung bereits vor der Fehlerubertragung zum 
SteuerungsprozeS einen eventuellen Fehler und leitet eine 
gesicherte Abschaltung ein. Dabei ist es gleichgultig, ob die 
externe Steuerung oder das verwendete Bussystem ftir den 
10 Fehler verantwortlich ist. 
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Patentanspruche 

1 • System ohal tungoanordimng zur gesicherten 

Datenubertragung in ringf 5rmigen Bussystemen, 
umfassend 

eine Steuerung (1) , die Auagaagsdatea und 
Koatrolleigaale fur einen Steueruagsprozefi zu 
peripherea Eiaheitea (4, 7, 8, 9, 12) sendet, 
eiae periphere Oberwachungseinheit (4) , die 
eine erste Tranefer-Einheit (5) zur 
Uberwachung der geaendetea Da tea und 
eiae zweite Traasfer-Einheit (6) zur 
Uberwachung von ia die Steuerung (l) 
zuriickzulesenden Datea aufweist, und 
mindeeteas eiae periphere sicherheitsrelevante 
Einheit (9) zum Empfangen oder Sendea von Datea ni t 
Sicherheitsbezug, ia der Datea zur Ausgabe 
zwischengespeichert werdea, die 

eiae Koatroll-Logik (11) zur Dberwachung der 
zwischengespeicherten Datea und 
eine Ausganga- Einheit (10) zur Ausgabe der 
zwiachengespelcherten Datea aufweist, 
wobei die zwischengespeicherten Daten durch die 
Kontroll-Logik (11) ■& so uberwacht werden, dafi im 
Pehlerfall ein sicherer Zust'and der Auagabe -Einheit 
(10) fur den Steuerungsprozefi eingeleitet wird, 
wobei die erate Transfer-Einheit (5), die von der 
Steuerung (1) ausgesendeten Daten derart uberwacht, dafi 
im Fehlerfall Freigabe -Daten fur die periphere 
sicherheitsrelevante Einheit (9) unterdruckt oder . 
gel&scht warden, so dafi fehlerhafte Daten nicht in den 
Steuerungsprozefc, insbesondere in 
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Datenubertragungsablaufe, gelangen, 
wobei uber die zweite Traasfer-Einheit (6)/ die 
Eingangsdaten der peripheren eicherheitsrelevanten 
Einheit (9) /. sowie deren zwischengespeicherten Datea 
zuruckgelesen werden. 

bGi - wclchor - etae Fig. 1 , take* J controllicrt und 
qu£ mOgllohQ Fohlor untcroucht' unci eifte dczcntralc 
oin Fohlcr * leann und zuoatzlich bcroita 

dor poriphorcn Binholt (Q) ubor cino gwoitd Bua Einheit 
rttcklioot und dcrart mQglioho Txanoportfchlor e» » £- 

woboi dio oichorhQitorQlovantG pcriphcrc Einheit (Q) 
niaht nur die zwiochQngGopGichcrto Auogabo (D3) 
gondorn auch cine redundant o - Eingabe fttr dio 
Uborwaohungocinhoi - t '- H fr eux Vcrfugung ctellfei 

System nach Anspruch 1 
daduxch gekennzeichne t , 

dafl die zwischengespeicherten Daten und die 
Eingangadaten der peripheren sicherheitsrelevanten 
Einheit (9) der peripheren tlber>#achungseinheit (4) zur 
Verfiigung gestellt werden. 

System nach Anspruch 1 oder 2, 
daduxch gekennzeichne t, 

daB die periphere sicherheitsrelevante Einheit (9) fiber 
eine Bus -Einheit (23) die zwischengespeicherten Daten 
zurtickliest. 
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System ohaltungaanordnung nach den Ansprttchen 1 bis 3 
dadurch gekennzeichnet, 

dafi die periphere sicherheitsrelevante a Einheit (9) eft- 
trig. 2) uber einen Zwischenspeicher (27) verfugt ea, dex 
von einer Ewcitcn Bus-Einheit (23) riickgelesen wird 
und so noch vor der Freigabe zum SteuerungsprozeS *S 
insbesondere von uber den Bus iibertragenen Daten, -f Qber 
die Ausgabe-Logik (28) mit dem » Ausgangs signal & eft 
(29) von der peripheren tfoerwachungseinheit (4) Fig.l/ 
kontrolliert wird, 

System chal tungoanordnung nach den Anspxiichen 3 oder 4,* 
dadurch gekennzeichnet, * 

daS im Prozcfi die periphere sicherheitsrelevante 
dcgcntralQ Einheit (9) e» eine waiters Buseinheit 22 
umfafit. cingobracht oind (Fig. 2) , so dafi die 
periphere sicherheitsrelevante Einheit (9) uber 
redundante Eingabe-Kan&le (24, 25) verffigt e» und so den 
angeschlossenen SteuerungsprozeS S redundant iiberwacht 
eft und einen Fehler erkennen kaan. 

System nach den Ansprtichen l bis 5, 
dadurch gekennzeichnet/ 

dafi die Kontroll-Logik (11) daruber entscheidet, ob die 
im Zwischenspeicher (27) gespeictierte Daten uber die 
Ausgabe-Logik (28) ausgegeben wird. 

System nach den Anspruchen 1 bis 6, 
dadurch gekennzeichnet, 

dafl die Kontroll-Logik (11) die zwischengespeicherte 
Daten freigibt oder loscht. 
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8. System naeh den Anspruchen 1 bis 7, 
dadurch gekennzeichnet, 

daS die periphere foerwachungseinheit (4) mit der ersten 
5 Transfer - Einheit (5) in der Lage ist, die Daten fiir 

die periphere sicherheitsrelevante Einheit (9) zu 
manipulieren. 

9. System nach den Anspruchen 1 bis 8, 
10 dadurch gekennzeichnet, 

dafi die periphere Uberwachungseinheit (4) Daten der SPS 
uberschreibt. 

10. System nach Anspruch 1 bis 9, 
15 dadurch gekennzeichnet/ 

dafi durch das Uberschreiben der Paten,/ die Zustimmung 
zur Datenausgabe aus der peripheren 
sicherheitsrelevanten Einheit (9) unterbunden wird. 

20 11. System nach Anspruch 1 bis 10 , 
dadurch gekennzeichnet , 

dafi die Kontroll-Logik (11) von der peripheren 
Sberwachungseinheit (4) eine Information erhalt, die 
eine fehlerhafte Ausgabe unterbindet* 

25 

12. System nach den Anspruchen 1 bis il, 
dadurch gekennzeichnet, 

dafi die periphere sicherheitsrelevante Einheit (9) nur 
dann aktiv vird/ wenn diese fiber die Xon troll -Einheit 
30 (11) eine Zustimmung fiir die Daten der Ausgabe-Einheit 

(10) erhalten hat. 
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13. System ehol tungoanordnung nach den Anspruchen 1 bis 12,3- 
4> dadurch gekennzeichnet, 

daS die angcoprochoncn peripheren Einheiten (4/ 7, 8, 9, 
12) auoh selbst loglsche Verknupfungen durchfuhren 
5 konnen und so im Gesamtverbund eine hShere 

Prozefigeschwindigkeit erreicht wird. 

14 * System ohaltungoanordnung nach den Anspruchen 1 bis 13,* 
5- dadurch gekennzeichnet, 
10 dafi die periphere Uberwachungseinheit (4) auch selbst 

Steuerungsfunktionen ubernimmt und so ein Verbund mit 
einer Sicherheitseteuerung entsteht. 

15. System chaltungoanordnu ag nach den Ansprtichen 1 bis 14,5- 
15 €■ dadurch gekennzeichnet, 

dafi die periphere sicherheifcsrelevante doaontralo 
Einheit (9) mit nicht sicherheiterelevanten 
Standard- Bausteinen zum Busverkehr auskommt und 
keinerlei sicherheitsrelevante Spezialbausteine 
20 benfitigt . 

16. System chaltungoanordnung nach den Anspruchen. 1 bis 15, '4" 
dadurch gekennzeichnet, 

dafi die Funktion bei Standard-Bussystemen betriebsf&hig 
25 • • ist und ohne zusatzliche Installation von weiteren 

Bussystemen oder speziellen Kompohenten funktionsf ahig 
ist. 
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System ohaltungoanordnung nach den Anspruchen i bis is,?, 
dadurch gekennzeichnet, 

dafi die Funktion durch Hinzufugen der peripheren 
ulDerwachungseinheit. (4.) Fig. 1, und durch Austausch yon 
normal en peripherea doaontralen E inheiten durch 
periphere sicherheitsrelevante Einheiten (9) Fig.l, 
nachtraglich installierbar ist. 

System chaltungoanordnung nach den Anspruchen 1 bis 17, «• 
dadurch gekennzeichnet, 

dafi die Sicherheitsfunktion des Systems auch 
nachtraglich durch Hinzufugen von Hardware - Elementen ... 
oder Software - Bausteinen_erweiterbar ist. 

System ohaltungoanordnung zur gesicherten 
Datenubertragung, insbesondere in ringformigen 
Bussystemen, 

bei welcher eine periphere Uberwachungseinheit (4) 
Fig. 1, die von einer Steuerung (l) ausgesendeten Daten 
kontrolliert und auf m5gllche Fehler untersucht und im 
Fehlerfall Freigabe-Daten fur eine periphere 
sicherheitsrelevante doaontralo Einheit (9) unterdruckt 
Oder loscht, so daS ein Fehler nicht in den 
SteuerungsprozeS insbesondere nicht in 
Datenubertragunsablaufe, gelangen kann. 

System ohaltungaanordnung nach Anspruch 19 i, 
bei welcher zwischengespeicherte Daten der peripheren 
sicherheitsrelevaatea Einheit (9) uber eine swoito 
Bus-Einheit (23) gelesen und 
dcroir - t mogliohc Tranoportfehl or durch eine 
Kontroll-Logik (11) 44*- uberwacht und erkannt werden. 
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21. System ohaltungoanordnung nach Anspruch 19 4? oder 20, 
i2-, 44 bei welcher durch die Kontroll-Logik (11) -frSf ein 

sicherer Zustand der Datentibertragung, insbesondere der 
Ausgabe-Einheit (10) von Daten eingeleitet wird. 

5 

22. Periphere sicberheitsrelevante Einheit in einem System 
zur gesicherten Datemiberfcragung in ringfoxmigen 
Bussystemen, umfassend 

zwei Buseinheiten (22,23) , 

10 urn die auszugebenden Daten einer Buseinheit 

(22) aucb au£ den Eingangsteil der anderen 
Buseinheit (23) weiterzugeben, tun Xnfoxmationen 
vom SteuerungsprozeS uber redundante Eingabe-Kanale 
(24, 25) holen zu konnea, und um die auszugebenden 

15 Daten einer periphexen Uberwachuagseinheit (4) zum 

Zuruckleeen zur Verfugung zu stellen, 
ein Zwischenspeioher (27) , in dem die 
auszugebenden Oaten vor der Freigabe abgelegt wird, 
sine Ausgabe-Logik (28)woruber die 

20 zwischengespeicherten Daten ausgegeben warden und 

eine Kontroll-Logik (11), die daruber entscheidet, 
ob die im Zwischenspeioher (27) gespeieherte Daten 
uber die Ausgabe-Logik (28) ausgegeben wird. 

25 2 3. Periphere sicherheits relevant e Einheit nach Anspruch 20, 
dadurch gekennzeichnet, 

dafi die Kontroll-Logik (11) die zwischnegespeicherten 
Daten freigibt oder 16scht. 
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Peripksra sicherheifcsrelevante Einheit nach den 
Aaspruchen 22 oder 23, 
dadurch gekennzeichnet, 

dafi die Kontroll-Logik (11) Informationea von der 
peripheren Uberwachungs einheit (4) erhalt, w damit eine 
fehlerhafte Ausgabe unterbinden zu koaaen. 
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Zus annnenf as sung 

Die vorliegende Schaltungsanordnung erlaubt es, an 
rihgformigen Standardbussystemen Daten zu ubertragen, die fur 
den Aufbau fehlertcleranter Strukturen notwendig sind. Zur 
Realisierung ben&tigt man eine Uberwachungseinheit und 
perlphere doaontirala Ein- und Ausgabeeinheiten, die Daten zur 
Regelung oder Steuerung senden oder entgegennehmen . 

Die Schaltungsanordnung uberninmt die Aufgabe/ eventuelle- i 
Fehler zu erkennen, die fur den ProzeS innerhalb einer 
Maschine-oder Anlage zur Gefahr werden kSiinen. Durch den 
internen Aufbau identif iziert die Schaltungsanordnung bereits 
vor der Fehlerof f enbarung zum ProzeS einen eventuellen Fehler 
und leitet eine gesicherte Abschaltung ein. Dabei ist es 
gleichgultig, ob die exteme Steuerung oder das verwendete 
Buesystem fur den Fehler verantwortlich ist. 
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Schaltungsanordnung zur gesicherten Datenxibertragung, 
insbesondere in ringf ormigen Bussysteznen 

5 

Beschreibung 

Die Erfindung betrifft eine Schaltungsanordnung zur 
gesicherten Datenxibertragung, insbesondere in ringf ormigen 
Bussystemen. 

10 

Im Maschinen- und Anlagenbau werden heute nicht selten 
Bewegungen und Vorgange gesteuert oder geregelt, die im 
Fehlerf all oder bei Versagen eine Gef ahr fur das Leben und 
die Gesundheit von Personen, insbesondere des bedienenden 
15 Personals, darstellen. Neben diesen Gefahren gilt es aber 

auch wertvolle Maschinenteile zu schutzen, die bei moglichen 
Fehlfunktionen hohe finanzielle Schaden erleiden konnen. 

Eventuell auftretende Fehler mussen daher durch den ProzeS 
20 bzw. die vorhandenen Steuereinrichtungen erkannt werden, und 
die Maschine sollte stets in einem Zustand gefuhrt werden, 
der als gefahrlos anzusehen ist. In der Regel sind hierfur 
redundante Strukturen notwendig, die unabhangig von der 
eigentlichen Steuerung oder Regelung die 
25 Sicherheitsfunktionen uberwachen. Im Maschinen- oder 

Anlagenbau ist zur Fehlererkennung haufig eine Feststellung 
eines Einfachfehlers hinreichend. Nach Erkennen dieses 
Fehlers kann dann der ProzeS abgebrochen werden und in einem 
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sicheren Zustand verweilen. Ein eventueller Schaden durch die 
fehlerhafte Fortfuhrung des Prozesses ist damit unterbunden. 

Die Verfahren zur Fehlererkennung und deren notwendige 
5 Mafinahmen sind in den internationalen Normen DIN V VDE 0801 
und DIN ISO 61508 f estgehalten. Durch die Grundlagen dieser 
Normen haben die Hersteller von Automatisierungseinrichtungen 
in den letzten Jahren unterschiedliche Strategien entwickelt, 
welche sichere Ubertragungen an Bussystemen erlauben, siehe 
10 beispielsweise den Profibus mit F-Profil, PNO und Safety-Bus 
P, der Fa, Pilz und Sick. 

Zusatzlich werden Steuerungen auf den Markt gelangen, die 
bereits intern redundante Strukturen aufweisen und so im 
15 Zusammenspiel mit den genannten sicheren Bussystemen eine 

Fehlererkennung zulassen, siehe beispielsweise die Bussysteme 
der Fa. Siemens, insbesondere die Geratereiche S 7 400 F, 
Oder die PSS 3 000-Serie der Firma Pilz. 

20 Die dort implement ierten Verfahren lassen sich jedoch nur bei 
vollstandig neuer Installation der notwendigen Komponenten 
einsetzen und schutzen nur mangelhaft gegen systematische 
Fehler. 

25 Die Erfindung macht es sich viel mehr zur Aufgabe, Fehler in 
einem ProzeS zu erkennen, der lediglich mit Standardeinheiten 
aufgebaut ist. 

Daruber hinaus sollen vorzugsweise nicht nur eventuelle 
30 Fehler beim Datentransport uber ein verwendetes Bussystem, 
sondern auch Storungen oder Programmier fehler in der 
Steuerungseinrichtung erkannt \ond eliminiert werden. 
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Die Schaltungsanordnung stellt damit eine Realisierung eines 
Verfahrens vor, das bereits unter dem nachverof f entlichten 
Patent Nr. 198 57 683.8 angemeldet wurde, dessen Inhalt durch 
Bezugnahme vollumf anglich auch zum Gegenstand des 
vorliegenden Schutzbegehrens gemacht wird. 

Das erfindungsgemafie Verfahren eignet sich besonders fur alle 
ringformigen Bussysteme, wobei die beschriebene Technik 
optimal auf den Interbus -Standard abgestimmt ist. Hier wurde 
bereits Anfang 1999 ein Anforderungsprof il erarbeitet und 
veroffentlicht, Zeitschrift IEE, April 1999, Karsten Meyer- 
Graf e: "Interbus goes Safety". 

Die Erfindung wird nachfolgend detaillierter anhand der 
beigefugten Zeichnungen und unter Bezugnahme auf bevorzugte 
Ausfuhrungsformen beschrieben. 

Es zeigen: 

Fig. 1 den Aufbau fur einer ersten Ausfuhrungsform eines 
Systems zur gesicherten Datenubertragung, 

Fig. 2 den internen Aufbau der sicherheitsrelevanten 

dezentralen Einheit des Systems zur gesicherten 
Datenubertragung . 

Die Erfindung wird nachfolgend detaillierter, zunachst unter 
Bezugnahme auf Fig. 1 beschrieben. Fig. 1 zeigt einen 
geeigneten Aufbau fur ein derartiges System. 

Die Steuerung 1 ubernimmt im ProzeS alle Steuerungs- und 
Regelfunktionen, wie dies beispielsweise von dem 
herkommlichen Interbus -System her bekannt ist. Sie erkennt 
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auch mogliche Fehler und kann Prozesse unterbrechen oder in 
einen sicheren Zustand fuhren. 

Im Falle eines eigenen Versagens oder bei fehlerhaftem 
Datentransport ist diese jedoch herkommlicherweise nicht in 
der Lage, den gewunschten sicheren Zustand herbeizufuhren. 
Dieser Ausfall ist beispielsweise auch dann gegeben, wenn in 
dem Steuerungssystem bereits eine weitgehende Trennung von 
ProzeSsteuerung und Sicherheitskontrolle vorliegt. Da es in 
herkornmlicher Weise auch hier keine Redundanz gibt, wird ein 
unerkannter Fehler moglicherweise schwerwiegende Folgen 
haben . 

Entsprechend der Erfindung werden weitere Komponenten 
hinzugefugt, die einen moglichen Fehler erkennen und 
eliminieren. Diese Einheiten sind: Eine Uberwachungseinheit 4 
und eine oder mehrere dezentrale Einheiten im ProzeS 9, die 
nur dort notwendig sind, wo Daten mit Sicherheitsbezug 
empfangen oder gesendet werden. 

Die Steuerung 1 beinhaltet ein Daten-Abbild-Register 2, 
alle Ausgangsdaten und weitere Kontrollsignale uber die 
Datenleitung 13 zu den peripheren Einheiten 4, 7, 8, 9, 
sendet . 

Da der Bustransport ahnlich wie ein Schieberegister 
f unktioniert , senden alle peripheren Einheiten uber die 
Ruckleitung 14 im gleichen Buszyklus ihre Eingangsdaten zur 
Steuerung, die im Daten-Abbild-Register 3 zur Verfugung 
stehen. In einem folgenden SPS-Zyklus (Speicher- 
programmierbaren-Steuerungs-Zyklus) verarbeitet die SPS 
(Speicher-programmierbare-Steuerung) nun die Daten aus ihren 
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beiden Abbild-Registern und erzeugt so den notwendigen 
Zustand fur den ProzeS. 

Ohne die Einheiten 4 und 9 ist diese jedoch nicht in der 
5 Lage, einen Programmierfehler, einen Zustand durch Storung 
oder Ausfall oder einen Datenfehler durch falschen 
Bustransport zu regeln. Die Uberwachungseinheit 4 beinhaltet 
daher einen eigenen Mikroprozessor, der die gesendeten Daten 
der SPS uberwacht und nur die sicherheitsrelevante Grofien auf 
10 Sinnf alligkeit, insbesondere deren Korrektheit, untersucht. 

So ist die Uberwachungseinheit 4 mit der Transf er-Einheit 5 
in der Lage, die SPS zu uberwachen. Diese karm aber noch 
zusatzlich uber die im Rucklauf installierte Transf er-Einheit 
15 6 auch die Daten der Eingange der dezentralen Einheiten 
lesen. Da die sicherheitsrelevante Einheit 9 ihre 
Ausgangs information D3 auch direkt an die Eingangseinheit C3 
weitergibt, gelingt so eine direkte Kontrolle, ob der 
Bustransf er ordnungsgemaS f \inktioniert hat . 

20 

Ferner ist die Uberwachungseinheit mit ihrer Transf er-Einheit 
5 auch in der Lage, die Daten fur die sicherheitsrelevante 
dezentrale Einheit 9 zu manipulieren. Diese karm insbesondere 
Daten der SPS uberschreiben und so eine Zustimmung zur 
25 Datenausgabe von 9 unterbinden. Die dezentrale Einheit wird 
nur dann aktiv, wenn diese uber die Kontroll -Einheit 11 eine 
Zustimmung fur die Daten der Ausgabe- Einheit 10 erhalten hat. 

Das Timing mit dem Datentransport ist in der folgenden 

30 

Tabelle gezeigt: 
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Das Timing -Diagramm zeigt den Zustand nach jeder Schiebe- 
Information im Ring anhand eines bevorzugten 
erfindungsgemaSen Beispiels, dem Interbus System der Firma 
Phoenix Contact GmbH und Co. KG. 

Die Information AC3 ist von der Oberwachungseinheit 4 mit der 
Transfer-Einheit 5 manipulierbar und kann uberschrieben 
werden. Somit erhalt die dezentrale Einheit 9 in ihrer 
Kontroll-Logik 11 eine Zusatz- Information, die eine 
fehlerhafte Ausgabe unterbindet. 

Wie aus dem Timing-Diagramm ebenfalls ersichtlich ist, kann 
die Oberwachungseinheit 9 auch die Daten der Ausgabe von 9 
lesen EC3 . Diese Daten stellen die direkte Ausgabe- 
Information der Einheit 9 dar, so da£ ein Busfehler sicher 
erkannt wird. 

Der interne Aufbau der sicherheitsrelevanten dezentralen 
Einheit 9 ist in Fig. 2 dargestellt. 
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Diese 1 besteht aus zwei Busbausteinen 2, 3, so daS 
Eingangsinf ormationen redundant vom Prozefi geholt werden 
konnen 4, 5. Zusatzlich wird die Ausgabe information Dn von 2 
uber den Eingangsteil der anderen Einheit 3 abgebildet. Ein 
5. moglicher Fehler bei der internen Ablage oder beim 

Bustransport wird damit im Folge-Zyklus des Bustransports 
erkannt. Die Ausgabe information von Dn wird von der Steuerung 
(SPS) in den Zwischenspeicher 7 geschrieben. 

10 Die Kontroll-Logik 6 entscheidet aber zusatzlich daruber, ob 
die Information des Zwischenspeichers 7 uber die Ausgabe - 
Logik 8 an der Peripherie erscheint. Diese Kontroll-Logik 6 
kann entweder die gespeicherte Information freigeben uber die 
Leitung 10 oder den Zustand loschen uber die Leitung 11, so 

15 daS der Ausgang 9 den ProzeS in einen sicheren Zustand 
bringt . 

Die Schaltungsanordnung funktioniert daher im Prinzip in 
vielen Bereichen genauso, wie ein normales dezentrales SPS- 

20 System. Die Komponenten erlauben es lediglich zusatzlich, 
Eingange redundant zu uberwachen und gespeicherte 
Ausgabeinf ormationen vor der Ausgabe auf Sinnf alligkeit , 
insbesondere Fehlerf reiheit , zu untersuchen. Ferner kann die 
Uberwachungseinheit auch Fehler erkennen, die nicht nur durch 

25 Ausfall oder Storung zustande gekommen sind, sondern einen 
Programmier- oder Parametrierf ehler als Ursache hatten. 

Die vorliegende Schaltungsanordnung erlaubt es somit, an 
ringformigen Standardbussystemen Daten zu ubertragen, die fur 
30 den Aufbau fehlertoleranter Strukturen notwendig sind. 
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Zur Realisierung wird eine Uberwachungseinheit und werden 
dezentrale Ein- und Ausgabeeinheiten, die Daten zur Regelung 
oder Steuerung senden oder entgegennehmen , eingesetzt. 

5 Die Schaltungsanordnung ubernimmt die Aufgabe, eventuelle 

Fehler zu erkennen, die fur den ProzeS, insbesondere fur die 
Ubertragung von Steuerungs-, Sensor- oder Aktordaten, 
innerhalb einer Maschine oder Anlage zur Gef ahr werden 
konnen. Durch den internen Aufbau identif iziert die 
10 Schaltungsanordnung bereits vor der Fehlerubertragung zum 
Steuerungsprozefi einen eventuellen Fehler und leitet eine 
gesicherte Abschaltung ein. Dabei ist es gleichgultig, ob die 
externe Steuerung oder das verwendete Bussystem fur den 
Fehler verantwortlich ist. 
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Patentanspruche 

1. Schaltungsanordnung zur gesicherten Datenubertragung in 
ringf ormigen Bussystemen, bei welcher eine 

5 Uberwachungseinheit (Fig. 1, 4) die von einer Steuerung 

(1) ausgesendeten Daten uber eine Transf er-Einheit (5) 
kontrolliert und auf mogliche Fehler untersucht und im 
Fehlerfall Freigabe -Daten fur eine sicherheitsrelevante 
dezentrale Einheit (9) unterdruckt oder loscht, so da£ ein 

10 Fehler nicht in den ProzeS, insbesondere in 

Datenubertragunsablaufe, gelangen kann, und zusatzlich 
bereits zwischengespeicherte Daten der peripheren Einheit 
(9) uber eine zweite Bus-Einheit ruckliest und derart 
mogliche Transportf ehler durch die Kontroll-Logik (6) 

15 uberwacht und einen sicheren Zustand der Ausgabe (10) fur 

den ProzeS einleitet, 

wobei die sicherheitsrelevante periphere Einheit (9) nicht 
nur die zwischengespeicherte Ausgabe (D3) sondern auch 
eine redundante Eingabe fur die Uberwachungseinheit (4) 
20 zur Verfugung stellt. 

2. Schaltungsanordnung nach Anspruch 1, dadurch 
gekennzeichnet , dafi im ProzeS sicherheitsrelevante 
dezentrale Einheiten eingebracht sind (Fig. 2), die uber 

25 redundante Eingabe-Kanale (4, 5) verfugen und so den 

angeschlossenen ProzeS redundant uberwachen und einen 
Fehler erkennen. 

3. Schaltungsanordnung nach den Anspruchen 1 bis 2, dadurch 
30 gekennzeichnet # dafi die sicherheitsrelevanten Einheiten 

(Fig. 2) uber einen Zwischenspeicher (7) verfugen # der von 
einer zweiten Bus-Einheit (3) ruckgelesen wird und so noch 
vor der Freigabe zum ProzeS, insbesondere von uber den Bus 
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ubertragenen Daten, (uber die Ausgabe (8) mit den Signalen 
(9) von der Uberwachungseinheit (Fig.l, 4) kontrolliert 
wird. 

4. Schaltungsanordnung nach den Anspruchen 1 bis 3, dadurch 
gekennzeichnet, daS die angesprochenen peripheren 
Einheiten auch selbst logische Verknupfungen durchfuhren 
konnen und so im Gesamtverbund eine hohere 
ProzeSgeschwindigkeit erreicht ist. 

5. Schaltungsanordnung nach den Anspruchen 1 bis 4, dadurch 
gekennzeichnet, daS die Uberwachungseinheit auch selbst 
Steuerungsfunktionen ubernimmt und so ein Verbund mit 
einer Sicherheitssteuerung entsteht. 

6. Schaltungsanordnung nach den Anspruchen 1 bis 5, dadurch 
gekennzeichnet, daS die sicherheitsrelevante dezentrale 
Einheit mit nicht sicherheitsrelevanten Standard- 
Bausteinen zum Busverkehr auskommt und keinerlei 
sicherheitsrelevante Spezialbausteine benotigt. 

7. Schaltungsanordnung nach den Anspruchen 1 bis 6, dadurch 
gekennzeichnet, daS die Funktion bei Standard-Bussystemen 
betriebsfahig ist und ohne zusatzliche Installation von 
weiteren Bussystemen oder speziellen Komponenten 
funktionsfahig ist. 

8. Schaltungsanordnung nach den Anspruchen 1 bis 7, dadurch 
gekennzeichnet, daS die Funktion durch Hinzufugen der 
Uberwachungseinheit (Fig. 1,4) und durch Austausch von 
normalen dezentralen Einheiten durch sicherheitsrelevante 
Einheiten (Fig.l, 9) nachtraglich installierbar ist. 
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9. Schaltungsanordnung nach den Anspruchen 1 bis 8, dadurch 
gekennzeichnet, da£ die Sicherheitsfunktion des Systems 
auch nachtraglich durch Hinzufugen von Hardware-Elementen 
oder Sof tware-Bausteinen erweiterbar ist. 

10. Schaltungsanordnung zur gesicherten Datenubertragung, 

insbesondere in ringformigen Bussystemen, bei welcher eine 
Uberwachungseinheit (Fig. 1, 4) die von einer Steuerung 
(1) ausgesendeten Daten kontrolliert und auf mogliche 
Fehler untersucht und im Fehlerfall Freigabe -Daten fur 
eine sicherheitsrelevante dezentrale Einheit (9) 
unterdruckt oder loscht, so daS ein Fehler nicht in den 
Prozefi, insbesondere nicht in Dateniibertragunsablauf e, 
gelangen kann. 

11. Schaltungsanordnung nach Anspruch 11, bei welcher 

zwischengespeicherte Daten der peripheren Einheit (9) uber 
eine zweite Bus -Einheit gelesen und derart mdgliche 
Transport fehler durch eine Kontroll-Logik (6) uberwacht 
und erkannt werden. 

12. Schaltungsanordnung nach Anspruch 10 oder 11, bei welcher 
durch die Kontroll-Logik (6) ein sicherer Zustand der 
Datenubertragung, insbesondere der Ausgabe (10) von Daten 
einleitet wird. 
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